Gérer les certificats TLS/SSL dans AD FS et WAP dans Windows Server 2016
Cet article explique comment déployer un nouveau certificat TLS/SSL sur vos serveurs Services ADFS et Proxy d'application Web (WAP).
Remarque
Désormais, la méthode recommandée pour remplacer le certificat TLS/SSL pour une batterie de serveurs AD FS consiste à utiliser Microsoft Entra Connect. Pour plus d’informations, consultez Mettre à jour le certificat TLS/SSL pour une batterie de serveurs Active Directory Federation Services (AD FS).
Obtenir vos certificats TLS/SSL
Pour les batteries de serveurs AD FS de production, un certificat TLS/SSL approuvé publiquement est recommandé. AD FS obtient ce certificat en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe plusieurs façons de générer la demande de signature de certificat, notamment à partir d’un ordinateur Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.
- Vérifiez que le certificat répond aux exigences relatives aux certificats Exigences en matière de certificat TLS/SSL Proxy d’application Web et AD FS.
Certificats nécessaires
Vous devez utiliser un certificat TLS/SSL commun à tous les serveurs AD FS et WAP. Pour plus d’informations sur la configuration requise, consultez Exigences relatives aux certificats TLS/SSL AD FS et Proxy d’application Web.
Configuration requise des certificats TLS/SSL
Pour connaître les exigences, notamment l’affectation de noms, la racine de l’approbation et les extensions, consultez Exigences de certificat TLS/SSL AD FS et Proxy d’application Web.
Remplacer le certificat TLS/SSL pour AD FS
Notes
Le certificat TLS/SSL AD FS n’est pas identique au certificat de communication du service AD FS qui se trouve dans le composant logiciel enfichable Gestion AD FS. Pour changer le certificat TLS/SSL d’AD FS, vous devez utiliser PowerShell.
Tout d'abord, déterminez si vos serveurs AD FS utilisent le mode de liaison d'authentification par certificat par défaut ou le mode de liaison TLS client alternative.
Remplacer le certificat TLS/SSL pour AD FS exécuté en mode de liaison d’authentification par certificat par défaut
AD FS effectue par défaut l’authentification par certificat d’appareil sur le port 443 et l’authentification par certificat utilisateur sur le port 49443 (ou un port configurable qui n’est pas 443).
Dans ce mode, utilisez l’applet de commande Set-AdfsSslCertificate PowerShell pour gérer le certificat TLS/SSL, comme indiqué dans les étapes suivantes :
Tout d’abord, vous devez obtenir le nouveau certificat. Vous pouvez l’obtenir en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe plusieurs façons de générer la demande de signature de certificat, notamment à partir d’un ordinateur Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.
- Vérifiez que le certificat répond aux exigences relatives aux certificats Exigences en matière de certificat SSL Proxy d’application Web et AD FS
Une fois que vous avez obtenu la réponse de votre fournisseur de certificats, importez-la dans le magasin de l’ordinateur local sur chaque serveur AD FS et WAP.
Sur le serveur AD FS principal, utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
Vous trouverez l’empreinte numérique du certificat en exécutant cette commande :
dir Cert:\LocalMachine\My\
Remplacer le certificat TLS/SSL pour AD FS exécuté en mode de liaison TLS alternative
Lorsqu'il est configuré en mode de liaison TLS client alternative, AD FS effectue l'authentification du certificat de périphérique sur le port 443. Il effectue également l’authentification par certificat utilisateur sur le port 443, sur un autre nom d’hôte. Le nom d'hôte du certificat d'utilisateur est le nom d'hôte AD FS précédé de certauth, par exemple certauth.fs.contoso.com.
Dans ce mode, utilisez l’applet de commande PowerShell Set-AdfsAlternateTlsClientBinding pour gérer le certificat TLS/SSL. Cette applet de commande gère non seulement la liaison TLS du client alternatif, mais également toutes les autres liaisons sur lesquelles AD FS définit également le certificat TLS/SSL.
Procédez comme suit pour remplacer votre certificat TLS/SSL pour AD FS exécuté en mode de liaison TLS alternative.
Tout d’abord, vous devez obtenir le nouveau certificat. Vous pouvez l’obtenir en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe plusieurs façons de générer la demande de signature de certificat, notamment à partir d’un ordinateur Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.
- Vérifiez que le certificat répond aux exigences relatives aux certificats Exigences en matière de certificat TLS/SSL Proxy d’application Web et AD FS.
Une fois que vous avez obtenu la réponse de votre fournisseur de certificats, importez-la dans le magasin de l’ordinateur local sur chaque serveur AD FS et WAP.
Sur le serveur AD FS principal, utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
Vous trouverez l’empreinte numérique du certificat en exécutant cette commande :
dir Cert:\LocalMachine\My\
Autres considérations relatives aux certificats TLS/SSL dans la liaison d’authentification par certificat par défaut et le mode de liaison TLS alternative
- Les applets de commande
Set-AdfsSslCertificateetSet-AdfsAlternateTlsClientBindingétant des applets de commande à plusieurs nœuds, elles ne doivent s’exécuter qu’à partir du serveur principal. Les applets de commande mettent également à jour tous les nœuds de la batterie de serveurs. Ce changement est nouveau dans Server 2016. Sur Server 2012 R2, vous deviez exécuter l’applet de commande sur chaque serveur. - Les applets de commande
Set-AdfsSslCertificateetSet-AdfsAlternateTlsClientBindingdoivent s’exécuter uniquement sur le serveur principal. Le serveur principal doit exécuter Server 2016 et vous devez augmenter le niveau de comportement de la batterie de serveurs à 2016. - Les applets de commande
Set-AdfsSslCertificateetSet-AdfsAlternateTlsClientBindingutilisent la communication à distance PowerShell pour configurer les autres serveurs AD FS. Vérifiez que le port 5985 (TCP) est ouvert sur les autres nœuds. - Les applets de commande
Set-AdfsSslCertificateetSet-AdfsAlternateTlsClientBindingaccordent à adfssrv des autorisations de lecture principales sur les clés privées du certificat TLS/SSL. Ce principal représente le service AD FS. Il n’est pas nécessaire d’accorder au compte de service AD FS un accès en lecture aux clés privées du certificat TLS/SSL.
Remplacer le certificat TLS/SSL pour le Proxy d'application Web
Si vous souhaitez configurer à la fois le mode de liaison d'authentification par certificat par défaut ou le mode de liaison TLS client alternative sur le WAP, vous pouvez utiliser l’applet de commande Set-WebApplicationProxySslCertificate.
Pour remplacer le certificat TLS/SSL WAP sur chaque serveur WAP, utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
Si l’applet de commande ci-dessus échoue parce que l’ancien certificat a déjà expiré, reconfigurez le proxy en utilisant les applets de commande suivantes :
$cred = Get-Credential
Entrez les informations d’identification d’un utilisateur de domaine administrateur local sur le serveur AD FS
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'