Habilitación de la autenticación moderna en Exchange local
Información general
Con la versión de Exchange Server 2019 CU13, Exchange Server admite OAuth 2.0 (también conocida como autenticación moderna) para entornos locales puros que usan ADFS como servicio de token de seguridad (STS). En este documento se proporcionan los requisitos previos y los pasos necesarios para habilitar esta característica.
Para usar la autenticación moderna, los usuarios necesitan clientes (Outlook o cualquier otro cliente de sistema operativo nativo) que admitan la autenticación moderna mediante ADFS. Inicialmente, esta característica solo está disponible para Outlook en Windows, pero la compatibilidad con la autenticación moderna se agregará a otros clientes de Outlook en el futuro.
La autenticación moderna en Exchange Server 2019 no debe confundirse con la autenticación moderna híbrida, que usa Microsoft Entra ID para la autenticación moderna. De hecho, HMA sigue siendo el único método recomendado para habilitar la autenticación moderna para todos los usuarios locales y en la nube en una configuración híbrida de Exchange. Esta nueva característica permite el uso de autenticación moderna por parte de los clientes que no tienen Microsoft Entra ID o no están en una configuración híbrida de Exchange.
¿Cómo funcionará la autenticación moderna y es esta característica aplicable a mí?
Con la autenticación moderna, los usuarios pueden autenticarse en Exchange mediante ADFS. Cuando la autenticación moderna está habilitada para un usuario, su cliente de Outlook se redirige a ADFS. A continuación, los usuarios pueden autenticarse proporcionando credenciales o realizando la autenticación multifactor. Una vez que ADFS autentica a un usuario, genera tokens de acceso. Estos tokens de acceso se validan mediante Exchange Server para proporcionar acceso de cliente al buzón del usuario.
En el diagrama siguiente se muestra la coordinación entre Exchange Server, ADFS y Outlook para autenticar a un usuario mediante la autenticación moderna.
En el gráfico anterior, los pasos 3a, 4a, 5a y 6a tienen lugar cuando la autenticación moderna está habilitada para el usuario final. Los pasos 3b y 4b se producen cuando la autenticación moderna está deshabilitada para un usuario.
Consulte la tabla siguiente para evaluar si esta característica es aplicable.
| Configuración de Exchange | ¿Esta característica es aplicable? | Comentarios |
|---|---|---|
| Organización de Exchange local con solo Exchange Server 2019 | Sí | N/D |
| Organización de Exchange local con combinación de Exchange Server 2019, Exchange Server 2016 y Exchange Server 2013 | No | Exchange Server 2013 no es compatible. |
| Organización de Exchange local con combinación de Exchange Server 2019 y Exchange Server 2016 | Sí | Solo los servidores de Exchange 2019 se pueden usar como servidores de Front-End (acceso de cliente). |
| Organización híbrida de Exchange mediante HMA | No | HMA con Microsoft Entra ID es la solución preferida. Consulte las instrucciones sobre el uso de nuevas directivas de autenticación. |
| Organización híbrida de Exchange sin HMA | No | Use HMA con Microsoft Entra ID. |
Requisitos previos para habilitar la autenticación moderna en Exchange
Exchange Server 2019 CU13 o posterior
Para usar la autenticación moderna, todos los servidores usados para las conexiones de cliente deben tener instalado Exchange Server 2019 CU13.
ADFS 2019 o posterior
Para habilitar la autenticación moderna en un entorno de Exchange local, se requiere Servicios de federación de Active Directory (AD FS) (ADFS) en Windows Server 2019 o posterior.
También puede necesitar Web Application Proxy Server (en Windows Server 2019 o posterior) para habilitar el acceso de cliente desde fuera de la red corporativa.
Nota:
El rol ADFS no se puede configurar en un Exchange Server. Para obtener más información, consulte Planeamiento de la topología de implementación de AD FS.
Requisitos previos de cliente
Outlook en Windows
La compatibilidad con la autenticación moderna a través de ADFS está disponible en las siguientes versiones de Microsoft Outlook.
Outlook en Aplicaciones Microsoft 365:
| Canal | Compatible | Versión | Compilación (o posterior) |
|---|---|---|---|
| Canal insider | Sí | 2304 | 16327.20200 |
| Canal actual | Sí | 2304 | 16327.20214 |
| Canal mensual para empresas | Sí | 2304 | 16327.20324 |
| Canal semestral para empresas (versión preliminar) | No | N/D | N/D |
| Canal empresarial semestral | No | N/D | N/D |
Outlook para Windows (licencia por volumen & minorista):
| Versión | Compatible | Versión | Compilación (o posterior) |
|---|---|---|---|
| Outlook 2016 (cualquier versión) | No | N/D | N/D |
| Outlook 2019 (cualquier versión) | No | N/D | N/D |
| Outlook 2021 (minorista) | Sí | 2304 | 16327.20214 |
| Outlook 2021 (licencia por volumen) | No | N/D | N/D |
Puede comprobar el número de compilación de Office siguiendo los pasos que se mencionan aquí.
Nota:
La compatibilidad con otros clientes, como Outlook en Mac, Outlook mobile, la aplicación de correo de iOS, etc., se agregará más adelante.
Sistema operativo Windows
El cliente de Windows debe ser Windows 11 22H2 or later y debe tener instalada la actualización del 14 de marzo de 2023 .
Puede revisar Windows Update historial para comprobar que KB5023706 está instalado.
Pasos para configurar la autenticación moderna en Exchange Server mediante ADFS como STS
En esta sección se proporcionan detalles sobre cómo implementar la autenticación moderna en Exchange Server 2019 CU13.
Instalar Exchange 2019 CU13 en todos los servidores FE (al menos)
Todos los servidores usados para las conexiones de cliente deben actualizarse a Exchange 2019 CU13. Esto garantiza que las conexiones de cliente iniciales a Exchange 2019 usen OAuth y las conexiones con proxy a Exchange Server 2016 usarán Kerberos.
Nota:
La configuración de la autenticación moderna solo se admite en Exchange Server 2019 CU13 y versiones posteriores.
Exchange 2019 CU13 agrega compatibilidad con nuevas directivas de autenticación para permitir o bloquear la autenticación moderna en el nivel de usuario. El bloqueo de la autenticación moderna se usa para garantizar que los clientes que no admiten la autenticación moderna todavía puedan conectarse.
La ejecución /PrepareAD con el programa de instalación es necesaria para agregar varios parámetros de directiva de autenticación nuevos a Exchange Server.
BlockModernAuthActiveSyncBlockModernAuthAutodiscoverBlockModernAuthImapBlockModernAuthMapiBlockModernAuthOfflineAddressBookBlockModernAuthPopBlockModernAuthRpcBlockModernAuthWebServices
Después de instalar CU13, cualquier directiva de autenticación preexistente (incluida la directiva de autenticación predeterminada) tendrá los parámetros anteriores deshabilitados. Esto significa que los clientes que usan HMA no necesitan cambiar sus directivas de autenticación ya existentes.
No se requiere ninguna directiva de autenticación nueva para los clientes híbridos de Exchange
Los clientes híbridos de Exchange existentes deben usar la autenticación moderna híbrida. Los clientes híbridos que usan HMA pueden dejar los valores de los parámetros BlockModernAuth* en 0 para seguir usando HMA.
Nota:
Los pasos siguientes para configurar la autenticación moderna mediante ADFS solo se aplican a los clientes que no son híbridos de Exchange (puros locales).
Configuración de Servicios de federación de Active Directory (AD FS) (ADFS)
Los clientes deben instalar y configurar ADFS en el entorno para permitir que los clientes de Exchange usen la autenticación de Forms (OAuth) para conectarse a Exchange Server.
Requisitos de certificado para la configuración de ADFS en Exchange Server organización
ADFS requiere dos tipos básicos de certificados (consulte este artículo para obtener información detallada):
- Certificado SSL (Capa de sockets seguros) de comunicación de servicio para el tráfico de servicios web cifrados entre el servidor ADFS, los clientes, los servidores exchange y el servidor web Application Proxy opcional. Se recomienda usar un certificado emitido por una entidad de certificación (CA) interna o comercial, ya que todos los clientes deben confiar en este certificado.
- Certificado de firma de tokens para la comunicación cifrada y la autenticación entre el servidor ADFS, los controladores de dominio de Active Directory y los servidores de Exchange. Para obtener un certificado de firma de token, solicite uno de una entidad de certificación o cree un certificado autofirmado.
Para obtener más información sobre cómo crear e importar certificados SSL en Windows, consulte Certificados de servidor.
Este es un resumen de los certificados que se usan en este escenario:
| Nombre común (CN) en el certificado (en el firmante, nombre alternativo del firmante o coincidencia de certificado comodín) | Tipo | Obligatorio en los servidores | Comentarios |
|---|---|---|---|
| adfs.contoso.com enterpriseregistration.contoso.com |
Emitido por una entidad de certificación | Servidor ADFS, Servidor de Application Proxy web (opcional) |
Los servidores de federación usan un certificado SSL para proteger el tráfico de servicios web para la comunicación SSL con clientes y con servidores proxy de servidor de federación. Como el certificado SSL debe ser de confianza para los equipos cliente, le recomendamos que use un certificado firmado por una entidad de certificación de confianza. Todos los certificados que seleccione deben tener su clave privada correspondiente. |
| Firma de token de ADFS: adfs.contoso.com | Autofirmado o problema por una ENTIDAD de certificación | Servidor ADFS, Servidor de Application Proxy web (opcional) |
Un certificado de firma de token es un certificado X509. Los servidores de federación usan pares de claves públicas y privadas asociadas para firmar digitalmente todos los tokens de seguridad que generan. Esto incluye la firma de metadatos de federación publicados y solicitudes de resolución de artefactos. Puede tener varios certificados de firma de tokens configurados en el complemento administración de AD FS para permitir la sustitución de certificados cuando un certificado está a punto de expirar. De forma predeterminada, se publican todos los certificados de la lista, pero AD FS solo usa el certificado de firma de tokens principal para firmar tokens realmente. Todos los certificados que seleccione deben tener su clave privada correspondiente. Para obtener un certificado de firma de token, solicite uno de una entidad de certificación empresarial o una entidad de certificación pública o cree un certificado autofirmado. |
| mail.contoso.com autodiscover.contoso.com |
Emitido por una entidad de certificación | Servidores de Exchange, Servidor de Application Proxy web (opcional) |
Este es el certificado típico que se usa para cifrar las conexiones de cliente externo a Outlook en la Web (y otros servicios de Exchange). Para obtener más información, vea Requisitos de certificados para los servicios de Exchange. |
Implementación y configuración del servidor ADFS
Use Windows Server 2019 o posterior para implementar un servidor ADFS. Siga los pasos: Implementar un servidor ADFS y Configurar y probar el servidor de ADFS. Compruebe que puede abrir la dirección URL de los metadatos de federación en un explorador web desde el servidor Exchange y al menos un equipo cliente.
La dirección URL usa la sintaxis :
https://<FederationServiceName>/federationmetadata/2007-06/federationmetadata.xml
Por ejemplo,
https://adfs.contoso.com/federationmetadata/2007-06/federationmetadata.xml
Elección de la duración del inicio de sesión único adecuada
Elija una duración de SSO adecuada para que los usuarios finales no sean necesarios para volver a autenticarse con frecuencia. Para configurar una duración del inicio de sesión único, abra la administración de ADFS en el servidor de ADFS y elija Edit Federation Service Properties en Acciones (presente en el lado derecho de la ventana de administración de ADFS).
Escriba , Web SSO lifetime (minutes)que es el tiempo máximo después del cual los usuarios deben volver a autenticarse.
Configuración del método de autenticación en ADFS
Para usar la autenticación moderna en Outlook en Windows, debe configurar los métodos de autenticación principal. Se recomienda elegir Forms Autenticación para Extranet e Intranet, como se muestra a continuación.
Habilitación del registro de dispositivos en ADFS
Compruebe que el registro de dispositivos está configurado y que la autenticación de dispositivos está habilitada comprobando la información general sobre el registro de dispositivos. Este paso se recomienda para reducir el número de solicitudes de autenticación para los usuarios y puede ayudar a aplicar directivas de Access Control en ADFS.
Complete todos los pasos para configurar la detección de servicios de registro de dispositivos y el certificado SSL del servidor de detección de registros de dispositivos, como se detalla [aquí](/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/dn614658(v=ws.11).
Create grupo de aplicaciones de ADFS para Outlook
Haga clic con el botón derecho en
Application Groupsy haga clic enAdd Application Group.
Seleccione
Native Application accessing a web API.Escriba un nombre como
Outlooky haga clic en Siguiente.
Native application pageEn , agregue lo siguienteclient identifieryredirect Uripara Outlook y haga clic en Siguiente.Identificador de cliente:
d3590ed6-52b3-4102-aeff-aad2292ab01cURI de redireccionamiento (agregue los dos URI siguientes):
urn:ietf:wg:oauth:2.0:oobms-appx-web://Microsoft.AAD.BrokerPlugin/d3590ed6-52b3-4102-aeff-aad2292ab01c
En la
Configure Web APIpestaña , agregue todos los FQDN usados por el entorno de Exchange, incluidos la detección automática, los FQDN de equilibrio de carga, los FQDN del servidor, etc. Por ejemplo:https://autodiscover.contoso.com/https://mail.contoso.com/
Importante
Aquí es importante asegurarse de que todas las direcciones URL orientadas al cliente están cubiertas o no funcionarán. Incluya los /'s finales y asegúrese de que las direcciones URL empiecen por https://.
En la
Apply Access Control Policypestaña , permita que todos empiecen por y, a continuación, cambien más adelante si es necesario. No active la casilla en la parte inferior de la página.En
Configure Application Permissions, elijaNative Application appy, en Comprobaruser_impersonationPermitted Scopesademás deopenid, que está activada de forma predeterminada.
Complete el asistente.
Agregar reglas de transformación de emisión en el grupo de aplicaciones de Outlook
Para el grupo Outlookde aplicaciones creado anteriormente, agregue reglas de transformación de emisión. Haga clic con el botón derecho en el grupo de aplicaciones de Outlook y seleccione propiedades.
Web API settingsEdite y, en Issuance Transform Rules , agregue las siguientes reglas personalizadas:
| Nombre de regla de notificación | Regla personalizada |
|---|---|
| ActiveDirectoryUserSID | c:[Type == "http://schemas.microsoft.com/ws/2008/06/identity/claims/primarysid"] => issue(claim = c); |
| ActiveDirectoryUPN | c:[Type == "http://schemas.xmlsoap.org/ws/2005/05/identity/claims/upn"] => issue(claim = c); |
| AppIDACR | => issue(Type = "appidacr", Value = "2"); |
| SCP | => issue(Type = "http://schemas.microsoft.com/identity/claims/scope", Value ="user_impersonation"); |
Después de agregar las reglas, debe tener el Outlook - Web API Properties siguiente aspecto:
Opcionalmente, los Application Proxy web se pueden configurar para El acceso a extranet
La Application Proxy web forma parte del rol de servidor de acceso remoto en Windows Server. Proporciona funcionalidad de proxy inverso para permitir que los usuarios accedan a las aplicaciones web desde fuera de la red corporativa. La Application Proxy web autentica previamente el acceso a las aplicaciones web mediante ADFS y funciona como un proxy de ADFS.
Si tiene previsto usar el proxy de aplicación web, siga los pasos que se mencionan en Instalación y configuración del servidor de Application Proxy web para configurarlo. Una vez configurado, puede publicar reglas para Autodiscover.contoso.com o y mail.contoso.com mediante los pasos mencionados en Publicar una aplicación que usa OAuth2.
Opcionalmente, MFA también se puede configurar para el acceso de cliente
Consulte los vínculos siguientes para configurar ADFS con un proveedor de MFA que prefiera.
Configurar Access Control directiva que requiere MFA.
Client-Side configuración de autenticación moderna
Se recomienda probar la autenticación moderna con pocos usuarios antes de implementarla en todos los usuarios. Una vez que un grupo piloto de usuarios puede usar la autenticación moderna, se pueden implementar más usuarios.
Actualización del cliente y actualización del sistema operativo:
Como se describe en la sección Requisitos previos del cliente , la autenticación moderna solo se admite para Outlook en Windows. Para usar la autenticación moderna, el canal insider del cliente de Outlook debe instalarse en Windows 11 sistema operativo 22H2 con la actualización del 14 de marzo de 2023 o posterior.
Cambios del Registro en máquinas cliente:
Los administradores deben configurar los valores del Registro para los usuarios.
Habilite la autenticación moderna y agregue el dominio de ADFS como dominio de confianza en Outlook:
Agregue las claves siguientes para agregar un dominio ADFS como dominio de confianza:
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AAD\AuthTrustedDomains\https://ADFS domain/HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\AAD\AuthTrustedDomains\https://ADFS domain
Nota:
Agregue dos claves con y sin "/" al final del dominio de ADFS.
Para habilitar la autenticación moderna a través de ADFS en Outlook en Windows, agregue el siguiente
REG_DWORDvalor enHKCU\SOFTWARE\Microsoft\Office\16.0\Common\Identity\:Nombre Valor EnableExchangeOnPremModernAuth 1 
Para facilitar la implementación, estos cambios del Registro se pueden configurar mediante directiva de grupo. Si su organización no usa directiva de grupo, los usuarios tienen que configurar su registro manualmente (o con un script que proporcione).
directivas de autenticación de Create para usuarios finales
Es posible que todos los usuarios de su organización no tengan clientes de correo electrónico que admitan la autenticación moderna mediante ADFS. En este escenario, se recomienda habilitar la autenticación moderna para los usuarios que tengan clientes compatibles y bloquear los usuarios de autenticación moderna que no lo hagan.
Para habilitar la autenticación moderna para un conjunto de usuarios y bloquear la autenticación moderna para los usuarios restantes, debe crear al menos dos directivas de autenticación:
- Directiva de toda la organización para bloquear la autenticación moderna de forma predeterminada.
- Segunda directiva para permitir selectivamente la autenticación moderna para algunos usuarios.
Create directiva de nivel de organización para bloquear la autenticación moderna de forma predeterminada
Una vez habilitada la autenticación moderna, todos los clientes de Outlook intentarán usar tokens de OAuth, pero algunos clientes (por ejemplo, Outlook en Mac) solo pueden capturar tokens de OAuth desde Microsoft Entra ID. Por lo tanto, si la autenticación moderna está habilitada, estos clientes no podrán conectarse.
Para evitar este escenario, puede establecer una directiva de nivel de organización para deshabilitar la autenticación moderna. En el ejemplo siguiente, creamos una nueva directiva de autenticación denominada Block Modern auth.
New-AuthenticationPolicy "Block Modern auth" -BlockModernAuthWebServices -BlockModernAuthActiveSync -BlockModernAuthAutodiscover -BlockModernAuthImap -BlockModernAuthMapi -BlockModernAuthOfflineAddressBook -BlockModernAuthPop -BlockModernAuthRpc
Esta directiva se puede establecer en el nivel de organización mediante el siguiente comando.
Set-OrganizationConfig -DefaultAuthenticationPolicy "Block Modern auth"
Create directiva de autenticación de nivel de usuario para habilitar la autenticación moderna
A continuación, cree una segunda directiva de autenticación que habilite la autenticación moderna. A todos los usuarios con un cliente de Outlook compatible se les asigna esta directiva de autenticación para permitir que su cliente use la autenticación moderna.
En el ejemplo siguiente, creamos una nueva autenticación denominada Allow Modern auth mediante el siguiente comando:
New-AuthenticationPolicy "Allow Modern auth"
Configuración de Exchange Server para usar tokens de OAuth de ADFS
Compruebe si oauth está habilitado en los siguientes directorios virtuales. Si no está habilitado, habilite oauth en todos estos directorios virtuales:
Get-MapiVirtualDirectory -Server <ExchangeServerName> | Format-List *auth* Get-WebServicesVirtualDirectory -Server <ExchangeServerName> | Format-List *auth* Get-OabVirtualDirectory -Server <ExchangeServerName> | Format-List *auth* Get-AutodiscoverVirtualDirectory -Server <ExchangeServerName> | Format-List *auth*Ejecute el siguiente comando:
New-AuthServer -Type ADFS -Name MyADFSServer -AuthMetadataUrl https://<adfs server FQDN>/FederationMetadata/2007-06/FederationMetadata.xmlEste comando es necesario para crear un nuevo objeto de servidor de autenticación en Exchange Server para ADFS. Los objetos de servidor de autenticación son una lista de emisores de confianza. Solo se aceptan los tokens de OAuth de estos emisores.
Ejecute el siguiente comando:
Set-AuthServer -Identity MyADFSServer -IsDefaultAuthorizationEndpoint $trueEstablezca el servidor de autenticación que acabamos de agregar como
DefaultAuthorizationEndpoint. Al anunciar el encabezado de autenticación moderna, Exchange Server anuncia la dirección URL de autenticación deDefaultAuthorizationEndpoint. Así es como los clientes saben qué punto de conexión usar para la autenticación.Es necesario ejecutar este comando para habilitar la autenticación moderna en el nivel de organización:
Set-OrganizationConfig -OAuth2ClientProfileEnabled $trueHabilite la autenticación moderna para los usuarios con clientes admitidos mediante la asignación de la
Allow Modern authdirectiva de autenticación:Set-User -Identity User -AuthenticationPolicy "Allow Modern auth"
Comprobación del flujo de autenticación moderna
Una vez configurado correctamente, los usuarios experimentan el símbolo del sistema de inicio de sesión de ADFS cuando se conectan a un servidor exchange.
Efecto en otros clientes cuando la autenticación moderna está habilitada para un usuario
Los usuarios habilitados para la autenticación moderna que tienen varios clientes (por ejemplo, Outlook en Windows y Outlook mobile) tendrán experiencias diferentes para cada cliente. Este es un resumen de cómo se comportan los clientes cuando está habilitada la autenticación moderna.
Nota:
En la tabla siguiente se supone que la autenticación moderna de bloque se aplica como DefaultAuthenticationPolicy en el nivel de organización.
| Cliente | Comportamiento |
|---|---|
| Outlook en Windows (nuevas versiones) | Usa la autenticación moderna de forma predeterminada. |
| Outlook en Windows (versiones anteriores) | Intentará usar la autenticación moderna, pero producirá un error. |
| Outlook Mac | Intentará usar la autenticación moderna, pero producirá un error; soporte técnico que viene más tarde. |
| Outlook iOS | Volverá a la autenticación básica. |
| Outlook Android | Volverá a la autenticación básica. |
| Aplicación de correo de iOS | Volverá a la autenticación básica. |
| Aplicación gmail | Volverá a la autenticación básica. |
| OWA/ECP | No usa la directiva de autenticación. En función de cómo se configure, usará la autenticación moderna o la autenticación básica. |
| Aplicación de Correo de Windows | No vuelve a la autenticación básica. |
| Cliente de Thunderbird | No vuelve a la autenticación básica. |
| PowerShell | Usará la autenticación básica. |
Efecto en OWA/ECP cuando la autenticación moderna está habilitada para otros clientes
Es posible que los clientes usen o no la autenticación basada en notificaciones de ADFS para Outlook en la Web. Los pasos mencionados anteriormente son necesarios para habilitar OAuth para otros clientes y no afectan a cómo se configura OWA/ECP.
Uso de la autenticación basada en notificaciones de AD FS con Outlook en la Web
Tiempo de espera después de cambiar la directiva de autenticación
Después de cambiar la directiva de autenticación para permitir la autenticación moderna o bloquear la autenticación heredada:
Espere 30 minutos para que los servidores front-end lean las nuevas directivas.
o
Realice un restablecimiento de IIS en todos los servidores front-end.
Migración a la autenticación moderna híbrida después de habilitar la autenticación moderna para Exchange Server
Los clientes que usan autenticación moderna con ADFS que más adelante deciden configurar Exchange Hybrid deben pasar a Autenticación moderna híbrida. Los pasos detallados para migrar se agregarán a una versión futura de este documento.
Renovación de certificados
Evaluación de la configuración actual del certificado
En lo que respecta a las conexiones de cliente a Exchange Server, el certificado que se debe evaluar es el enlazado al sitio de IIS de front-end. Para un servidor ADFS, es ideal asegurarse de que todos los certificados devueltos en Get-AdfsCertificate son actuales.
Para identificar el certificado pertinente en un Exchange Server, realice lo siguiente en el Shell de administración de Exchange:
Import-Module WebAdministration (Get-ChildItem IIS:SSLBindings | Where-Object {($_.Sites -ne $null) -and ($_.Port -eq "443")}).Thumbprint | ForEach-Object {Get-ExchangeCertificate $_ | Where-Object {$_.Services -Match "IIS"} | Format-Table Thumbprint, Services, RootCAType, Status, NotAfter, Issuer -AutoSize -Wrap}Para revisar los certificados activos en un servidor ADFS, realice lo siguiente en PowerShell:
Get-AdfsCertificate | Format-Table CertificateType, Thumbprint, Certificate -AutoSize -Wrap
Actualización de certificados en Exchange Server
Si se detecta que el certificado de Exchange debe actualizarse para la conectividad de cliente, se debe emitir e importar un nuevo certificado en los servidores de Exchange. Después, el certificado debe habilitarse para IIS como mínimo. Evalúe si se deben habilitar otros servicios para el nuevo certificado en función de la configuración.
A continuación se muestra un ejemplo sobre cómo crear, completar, habilitar e importar un nuevo certificado en todos los servidores en función del certificado existente en el Shell de administración de Exchange:
Genere una nueva solicitud de certificado en el Shell de administración de Exchange en función del certificado existente:
$txtrequest = Get-ExchangeCertificate <Thumbprint> | New-ExchangeCertificate -GenerateRequest -PrivateKeyExportable $trueStage a variable que contiene la ruta de acceso de salida deseada de la nueva solicitud de certificado:
$requestFile = "C:\temp\CertRequest.req"Create el archivo de solicitud de certificado:
[System.IO.File]::WriteAllBytes($requestFile, [System.Text.Encoding]::Unicode.GetBytes($txtrequest))Nota:
La ruta de acceso de la carpeta para la solicitud de certificado ya debe existir.
Comparta el archivo de solicitud con la entidad de certificación (CA). Los pasos necesarios para obtener un certificado completado varían en función de la entidad de certificación.
Nota:
.p7bes el formato preferido para la solicitud completada.Stage a variable que contiene la ruta de acceso completa de la solicitud completada:
$certFile = "C:\temp\ExchangeCert.p7b"Importe la solicitud en el servidor que generó originalmente la solicitud:
Import-ExchangeCertificate -FileData ([System.IO.File]::ReadAllBytes($certFile)) -PrivateKeyExportable $trueVariable de fase de la contraseña para proteger el certificado completado:
$pw = Read-Host "Enter password" -AsSecureStringExporte el archivo binario del certificado en una variable:
$binCert = Export-ExchangeCertificate <Thumbprint> -BinaryEncodedVariable de fase para la ruta de acceso de salida deseada del certificado completado:
$certificate = "\\$env:computername\c$\temp\CompletedExchangeCert.pfx"Exporte la solicitud completada que se va a importar en otros servidores:
[System.IO.File]::WriteAllBytes($certificate, $binCert.FileData)Habilite los servicios que deben enlazarse al certificado:
Enable-ExchangeCertificate <Thumbprint> -Services IISNota:
Es posible que tenga que agregar más servicios al ejemplo anterior en función de la configuración de los certificados anteriores.
Para validar que el certificado funciona según lo previsto, dirija un cliente al servidor para todos los espacios de nombres de cliente con un archivo host.
Importe el certificado de Exchange en todos los demás servidores de Exchange:
Import-ExchangeCertificate -PrivateKeyExportable $true -FileData ([System.IO.File]::ReadAllBytes($certificate)) -Password $pw -Server <Server-Name>Nota:
Incluir el
-PrivateKeyExportableparámetro es opcional al importar a otros servidores de Exchange.Habilite el certificado de Exchange para los servicios de Exchange necesarios en todos los demás servidores de Exchange:
Enable-ExchangeCertificate <Thumbprint> -Services IIS -Server <Server-Name>Nota:
Es posible que tenga que agregar más servicios al ejemplo anterior en función de la configuración de los certificados anteriores.
Actualización del certificado en ADFS
Dependiendo del tipo de certificado que requiere actualización en ADFS, determina si necesita seguir los pasos que se describen a continuación.
certificado de Service-Communications
En este ejemplo se proporciona el powershell necesario para importar un certificado en .pfx formato, como el generado siguiendo los pasos del certificado de Exchange Server. Asegúrese de que ha iniciado sesión en el servidor ADFS principal.
Stage a variable que contiene la contraseña del certificado:
$pw = Read-Host "Enter password" -AsSecureStringStage a variable que contiene la ruta de acceso completa para el certificado:
$certificate = "\\E2k19-1\c$\temp\CompletedExchangeCert.pfx"Importe el certificado en el almacén personal de LocalMachine:
Import-PfxCertificate -FilePath $certificate -CertStoreLocation Cert:\LocalMachine\my -Password $pwActualice el certificado de Service-Communications:
Set-AdfsSslCertificate -Thumbprint <Thumbprint>
certificados de Token-Signing y Token-Decryption
Siga los pasos descritos en la documentación Obtención y configuración de certificados TS y TD para AD FS .
Nota:
El uso del certificado autofirmado predeterminado para Token-Signing en la autenticación basada en notificaciones de ADFS para Outlook en la Web requiere que el certificado se instale en los servidores de Exchange.