Mettre à jour le certificat SSL pour une batterie de serveurs Active Directory Federation Services (AD FS)Update the SSL certificate for an Active Directory Federation Services (AD FS) farm

Vue d'ensembleOverview

Cet article explique comment utiliser Azure AD Connect pour mettre à jour le certificat SSL d’une batterie de serveurs Active Directory Federation Services (AD FS).This article describes how you can use Azure AD Connect to update the SSL certificate for an Active Directory Federation Services (AD FS) farm. Vous pouvez utiliser l’outil Azure AD Connect pour une mise à jour facile du certificat SSL pour la batterie de serveurs AD FS même si la méthode d’authentification sélectionnée n’est pas AD FS.You can use the Azure AD Connect tool to easily update the SSL certificate for the AD FS farm even if the user sign-in method selected is not AD FS.

Vous pouvez effectuer l’ensemble de l’opération de mise à jour du certificat SSL pour la batterie de serveurs AD FS sur l’ensemble des serveurs de fédération et Proxy d’application Web (WAP) en trois étapes simples :You can perform the whole operation of updating SSL certificate for the AD FS farm across all federation and Web Application Proxy (WAP) servers in three simple steps:

Trois étapes

Notes

Pour en savoir plus sur les certificats utilisés par AD FS, consultez l’article Présentation des certificats utilisés par les services ADFS (Active Directory Federation Services).To learn more about certificates that are used by AD FS, see Understanding certificates used by AD FS.

PrérequisPrerequisites

  • Batterie de serveurs AD FS : assurez-vous que votre batterie AD FS est basée sur Windows Server 2012 R2 ou version ultérieure.AD FS Farm: Make sure that your AD FS farm is Windows Server 2012 R2-based or later.
  • Azure AD Connect : vérifiez qu'Azure AD Connect correspond à la version 1.1.553.0 ou ultérieure.Azure AD Connect: Ensure that the version of Azure AD Connect is 1.1.553.0 or higher. Vous utiliserez la tâche Mettre à jour le certificat SSL AD FS.You'll use the task Update AD FS SSL certificate.

Mettre à jour la tâche SSL

Étape 1 : Fournir les informations sur la batterie de serveurs AD FSStep 1: Provide AD FS farm information

Azure AD Connect tente d’obtenir automatiquement les informations sur la batterie de serveurs AD FS en effectuant les opérations suivantes :Azure AD Connect attempts to obtain information about the AD FS farm automatically by:

  1. Interrogez les informations de la batterie à partir d’AD FS (Windows Server 2016 ou version ultérieure).Querying the farm information from AD FS (Windows Server 2016 or later).
  2. Référencer les informations obtenues à partir d’exécutions précédentes stockées localement avec Azure AD Connect.Referencing the information from previous runs, which are stored locally with Azure AD Connect.

Vous pouvez modifier la liste des serveurs affichés en ajoutant ou en supprimant des serveurs afin de refléter la configuration actuelle de la batterie de serveurs AD FS.You can modify the list of servers that are displayed by adding or removing the servers to reflect the current configuration of the AD FS farm. Dès que les informations de serveur sont fournies, Azure AD Connect affiche la connectivité et l’état actuel du certificat SSL.As soon as the server information is provided, Azure AD Connect displays the connectivity and current SSL certificate status.

Informations du serveur AD FS

Si la liste contient un serveur qui ne fait plus partie de la batterie de serveurs AD FS, cliquez sur Supprimer pour le supprimer de la liste des serveurs de votre batterie de serveurs AD FS.If the list contains a server that's no longer part of the AD FS farm, click Remove to delete the server from the list of servers in your AD FS farm.

Serveur hors connexion dans la liste

Notes

La suppression d’un serveur dans la liste des serveurs de la batterie de serveurs AD FS dans Azure AD Connect est une opération locale qui met à jour les informations relatives à la batterie de serveurs AD FS qu’Azure AD Connect tient à jour localement.Removing a server from the list of servers for an AD FS farm in Azure AD Connect is a local operation and updates the information for the AD FS farm that Azure AD Connect maintains locally. Azure AD Connect ne modifie pas la configuration AD FS pour refléter la modification.Azure AD Connect doesn't modify the configuration on AD FS to reflect the change.

Étape 2 : Fournir un nouveau certificat SSLStep 2: Provide a new SSL certificate

Une fois que vous avez confirmé les informations sur les serveurs de la batterie de serveurs AD FS, Azure AD Connect demande le nouveau certificat SSL.After you've confirmed the information about AD FS farm servers, Azure AD Connect asks for the new SSL certificate. Fournissez un certificat PFX protégé par mot de passe pour poursuivre l’installation.Provide a password-protected PFX certificate to continue the installation.

Certificat SSL

Une fois que vous fournissez le certificat, Azure AD Connect passe par une série de conditions préalables.After you provide the certificate, Azure AD Connect goes through a series of prerequisites. Vérifiez le certificat pour vous assurer qu’il est correct pour la batterie de serveurs AD FS :Verify the certificate to ensure that the certificate is correct for the AD FS farm:

  • Le nom de sujet/l’autre nom de sujet du certificat est identique au nom du service de fédération ou est un certificat à caractères génériques.The subject name/alternate subject name for the certificate is either the same as the federation service name, or it's a wildcard certificate.
  • Le certificat est valide pendant plus de 30 jours.The certificate is valid for more than 30 days.
  • La chaîne d’approbation du certificat est valide.The certificate trust chain is valid.
  • Le certificat est protégé par un mot de passe.The certificate is password protected.

Étape 3 : Sélectionner les serveurs concernés par la mise à jourStep 3: Select servers for the update

Dans l’étape suivante, sélectionnez les serveurs qui ont besoin d’avoir le certificat SSL mis à jour.In the next step, select the servers that need to have the SSL certificate updated. Il est impossible de sélectionner les serveurs qui sont hors connexion pour la mise à jour.Servers that are offline can't be selected for the update.

Sélectionnez les serveurs à mettre à jour

Après avoir terminé la configuration, Azure AD Connect affiche le message qui indique l’état de la mise à jour et fournit une option permettant de vérifier l’authentification dans AD FS.After you complete the configuration, Azure AD Connect displays the message that indicates the status of the update and provides an option to verify the AD FS sign-in.

Configuration terminée

FAQFAQs

  • Quel doit être le nom de sujet du nouveau certificat SSL AD FS ?What should be the subject name of the certificate for the new AD FS SSL certificate?

    Azure AD Connect vérifie si le nom de sujet/l’autre nom de sujet du certificat contient le nom du service de fédération.Azure AD Connect checks if the subject name/alternate subject name of the certificate contains the federation service name. Par exemple, si le nom de votre service de fédération est fs.contoso.com, le nom de sujet/l’autre nom de sujet doit être fs.contoso.com.For example, if your federation service name is fs.contoso.com, the subject name/alternate subject name must be fs.contoso.com. Les certificats à caractères génériques sont également acceptés.Wildcard certificates are also accepted.

  • Pourquoi le système me redemande mes informations d’identification dans la page du serveur WAP ?Why am I asked for credentials again on the WAP server page?

    Si les informations d’identification que vous avez fournies pour la connexion aux serveurs AD FS ne disposent également pas du privilège permettant de gérer les serveurs WAP, Azure AD Connect vous demande des informations d’identification bénéficiant du privilège administratif sur les serveurs WAP.If the credentials you provide for connecting to AD FS servers don't also have the privilege to manage the WAP servers, then Azure AD Connect asks for credentials that have administrative privilege on the WAP servers.

  • Le serveur est indiqué comme étant hors connexion. Que dois-je faire ?The server is shown as offline. What should I do?

    Azure AD Connect ne peut effectuer aucune opération si le serveur est hors connexion.Azure AD Connect can't perform any operation if the server is offline. Si le serveur fait partie de la batterie de serveurs AD FS, vérifiez la connectivité au serveur.If the server is part of the AD FS farm, then check the connectivity to the server. Une fois que vous avez résolu le problème, appuyez sur l’icône d’actualisation pour mettre à jour l’état de l’assistant.After you've resolved the issue, press the refresh icon to update the status in the wizard. Si le serveur faisait déjà partie de la batterie de serveurs et qu’il n’existe plus, cliquez sur Supprimer pour le supprimer de la liste des serveurs qu’Azure AD Connect tient à jour.If the server was part of the farm earlier but now no longer exists, click Remove to delete it from the list of servers that Azure AD Connect maintains. La suppression du serveur de la liste dans Azure AD Connect n’altère pas la configuration AD FS elle-même.Removing the server from the list in Azure AD Connect doesn't alter the AD FS configuration itself. Si vous utilisez AD FS dans Windows Server 2016 ou une version ultérieure, le serveur reste dans les paramètres de configuration et s’affiche à nouveau la prochaine fois que la tâche est exécutée.If you're using AD FS in Windows Server 2016 or later, the server remains in the configuration settings and will be shown again the next time the task is run.

  • Puis-je mettre à jour une partie des serveurs de ma batterie de serveurs avec le nouveau certificat SSL ?Can I update a subset of my farm servers with the new SSL certificate?

    Oui.Yes. Vous pouvez toujours exécuter la tâche Mettre à jour le certificat SSL pour mettre à jour les serveurs restants.You can always run the task Update SSL Certificate again to update the remaining servers. Sur la page Sélectionner des serveurs pour la mise à jour du certificat SSL, vous pouvez trier la liste des serveurs sur Date d’expiration SSL pour accéder facilement aux serveurs qui ne sont pas encore mis à jour.On the Select servers for SSL certificate update page, you can sort the list of servers on SSL Expiry date to easily access the servers that aren't updated yet.

  • J’ai supprimé le serveur lors de l’exécution précédente, mais il est toujours affiché comme étant hors connexion et listé dans la page Serveurs AD FS. Pourquoi le serveur hors connexion est-il toujours affiché même après sa suppression ?I removed the server in the previous run, but it's still being shown as offline and listed on the AD FS Servers page. Why is the offline server still there even after I removed it?

    La suppression du serveur de la liste dans Azure AD Connect ne le supprime pas de la configuration AD FS.Removing the server from the list in Azure AD Connect doesn't remove it in the AD FS configuration. Azure AD Connect fait référence à AD FS (Windows Server 2016 ou version ultérieure) pour toutes les informations concernant la batterie de serveurs.Azure AD Connect references AD FS (Windows Server 2016 or higher) for any information about the farm. Si le serveur est toujours présent dans la configuration AD FS, il sera répertorié dans la liste.If the server is still present in the AD FS configuration, it will be listed back in the list.

Étapes suivantesNext steps