Als je regelmatig inlogt in portal.office.com krijg je ook alle meldingen te zien die te maken hebben met het beheer ervan (mits je beheerder bent, uiteraard). Nu kreeg ik de volgende melding:

One of your on-premises Federation Service certificates is expiring. Failure to renew the certificate and update trust properties within 30 days will result in a loss of access to all Office 365 services for all users

Een van uw On-Premise federatie service certificaten zal binnenkort vervallen. (et cetera)

Zelfs als je certificaten automatisch vernieuwd worden zul je dit ook bekend moeten maken aan "de cloud". Dat doe je als volgt:

Log in op de server waar ADFS op draait. Dit hoeft niet dezelfde machine te zijn als waar je ADsychronisatie op draait. Bij mij is dat niet het geval, maar het kan uiteraard wel. In AD FS management, onder AD FS->Service->Certificates vind je drie certificaten: Een Service communications certificate, een token-decrypting certificate, en een token-signing certificate. Het gaat ons vooral om de laatste (maar het kan geen kwaad om de token-decrypting certificate ook te updaten)

Om de certificaten te updaten start je powershell en je tikt de volgende commando's in:

1) Add-PSSnapin Microsoft.adfs.Powershell
2) Update-ADFSCertificate -Certificatetype: Token-Signing

Het eerste commando is niet nodig als je Windows 2012R2 gebruikt (en dus ADFS3.0). Als je ook het andere certificaat wil vernieuwen, gebruik je het commando:

3) Update-ADFSCertificate -Certificatetype: Token-Decrypting

Als je nu weer in AD FS management kijkt, zul je (na een refresh) zien dat er een of twee certificaten zijn gemaakt, die wederom een jaar geldig zijn.

Nu moet dit nog wel gecommuniceerd worden naar ":de cloud". Dat doe je ook vanuit een Powershell commando:

4) $Cred = Get-Credential
5) Connect-MSOLService -Credential:$Cred
6) Set-MSOLADFSContext -computer:<computer waar ADFS op draait>
7) Update-MSOLFederatedDomain -DomainName:<Federated Domain Name> of Update-MSOLFederatedDomain -DomainName:<Federated Domain Name> -supportmultipledomain

Bij (4) voer je de credentials in van een beheerder van de online office, maar wel in het e-mail formaat (zoals bijvoorbeeld john @ poelgeest.org, of administrator @ poelgeest.onmicrosoft.com)

bij (6) is het voldoende om alleen de computernaam te gebruiken. Een FQDN (<computernaam>.<domain>.<tld>) is niet nodig

Als je bij (7) eerst zonder -supportmultipledomain invoert, zal het goed gaan, of er wordt een foutmelding gegeven dat -supportmultipledomain nodig is

 

Et voila, de certificaatmelding op Office365 online is verdwenen.

 

 

bron:

http://blogs.technet.com/b/sharepoint_made_easy/archive/2013/03/21/certificate-error-for-federated-domains-on-o365.aspx