Mengelola Sertifikat SSL di Layanan Federasi Direktori Aktif dan WAP di Windows Server 2016

Artikel ini menjelaskan cara menyebarkan sertifikat SSL baru ke server AD FS dan WAP Anda.

Catatan

Cara yang disarankan untuk mengganti sertifikat SSL ke depannya untuk farm Layanan Federasi Direktori Aktif adalah dengan menggunakan Azure AD Koneksi. Untuk informasi selengkapnya lihat Memperbarui sertifikat SSL untuk farm Active Directory Federation Services (AD FS)

Mendapatkan Sertifikat SSL Anda

Untuk farm Layanan Federasi Direktori Aktif produksi, sertifikat SSL tepercaya publik disarankan. Ini biasanya diperoleh dengan mengirimkan permintaan penandatanganan sertifikat (CSR) ke pihak ketiga, penyedia sertifikat publik. Ada berbagai cara untuk menghasilkan CSR, termasuk dari Windows 7 atau PC yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk ini.

• Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Proksi Aplikasi SSL

Berapa banyak sertifikat yang diperlukan

Disarankan agar Anda menggunakan sertifikat SSL umum di semua layanan federasi direktori aktif dan server Proksi Aplikasi Web. Untuk persyaratan terperinci, lihat dokumen Ad FS dan persyaratan sertifikat Web Proksi Aplikasi SSL

Persyaratan Sertifikat SSL

Untuk persyaratan termasuk penamaan, akar kepercayaan, dan ekstensi, lihat dokumen Layanan Federasi Direktori Aktif dan persyaratan sertifikat SSL Proksi Aplikasi Web

Mengganti sertifikat SSL untuk Layanan Federasi Direktori Aktif

Catatan

Sertifikat SSL Layanan Federasi Direktori Aktif tidak sama dengan sertifikat komunikasi Layanan Federasi Direktori Aktif yang ditemukan di snap-in Manajemen Layanan Federasi Direktori Aktif. Untuk mengubah sertifikat AD FS SSL, Anda harus menggunakan PowerShell.

Pertama, tentukan mode pengikatan sertifikat mana yang dijalankan server AD FS Anda: pengikatan autentikasi sertifikat default, atau mode pengikatan TLS klien alternatif.

Mengganti sertifikat SSL untuk Layanan Federasi Direktori Aktif yang berjalan dalam mode pengikatan autentikasi sertifikat default

Layanan Federasi Direktori Aktif secara default melakukan autentikasi sertifikat perangkat pada port 443 dan autentikasi sertifikat pengguna pada port 49443 (atau port yang dapat dikonfigurasi yang bukan 443). Dalam mode ini, gunakan cmdlet powershell Set-AdfsSslCertificate untuk mengelola sertifikat SSL.

Ikuti langkah berikut:

1. Pertama, Anda harus mendapatkan sertifikat baru. Ini biasanya dilakukan dengan mengirimkan permintaan penandatanganan sertifikat (CSR) ke pihak ketiga, penyedia sertifikat publik. Ada berbagai cara untuk menghasilkan CSR, termasuk dari Windows 7 atau PC yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk ini.

   • Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Proksi Aplikasi SSL

2. Setelah Anda mendapatkan respons dari penyedia sertifikat Anda, impor ke penyimpanan Komputer Lokal di setiap layanan federasi direktori aktif dan server Proksi Aplikasi Web.

3. Di server LAYANAN Federasi Direktori Aktif utama , gunakan cmdlet berikut untuk menginstal sertifikat SSL baru

Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'

Thumbprint sertifikat dapat ditemukan dengan menjalankan perintah ini:

dir Cert:\LocalMachine\My\

Catatan Tambahan

• Cmdlet Set-AdfsSslCertificate adalah cmdlet multi-simpul; ini berarti hanya harus berjalan dari primer dan semua simpul di farm akan diperbarui. Ini baru di Server 2016. Pada Server 2012 R2 Anda harus menjalankan Set-AdfsSslCertificate di setiap server.
• Cmdlet Set-AdfsSslCertificate harus dijalankan hanya di server utama. Server utama harus menjalankan Server 2016 dan Tingkat Perilaku Farm harus dinaikkan ke 2016.
• Cmdlet Set-AdfsSslCertificate akan menggunakan PowerShell Remoting untuk mengonfigurasi server LAYANAN Federasi Direktori Aktif lainnya, pastikan port 5985 (TCP) terbuka pada simpul lain.
• Cmdlet Set-AdfsSslCertificate akan memberikan izin baca utama adfssrv ke kunci privat sertifikat SSL. Perwakilan ini mewakili layanan Layanan Federasi Direktori Aktif. Tidak perlu memberikan akses baca akun layanan Layanan Federasi Direktori Aktif ke kunci privat sertifikat SSL.

Mengganti sertifikat SSL untuk Layanan Federasi Direktori Aktif yang berjalan dalam mode pengikatan TLS alternatif

Saat dikonfigurasi dalam mode pengikatan TLS klien alternatif, AD FS melakukan autentikasi sertifikat perangkat pada port 443 dan autentikasi sertifikat pengguna pada port 443 juga, pada nama host yang berbeda. Nama host sertifikat pengguna adalah nama host LAYANAN Federasi Direktori Aktif yang telah ditunda sebelumnya dengan "certauth", misalnya "certauth.fs.contoso.com". Dalam mode ini, gunakan cmdlet powershell Set-AdfsAlternateTlsClientBinding untuk mengelola sertifikat SSL. Ini tidak hanya akan mengelola pengikatan TLS klien alternatif tetapi semua pengikatan lainnya di mana Layanan Federasi Direktori Aktif juga mengatur sertifikat SSL.

Ikuti langkah berikut:

1. Pertama, Anda harus mendapatkan sertifikat baru. Ini biasanya dilakukan dengan mengirimkan permintaan penandatanganan sertifikat (CSR) ke pihak ketiga, penyedia sertifikat publik. Ada berbagai cara untuk menghasilkan CSR, termasuk dari Windows 7 atau PC yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk ini.

   • Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Proksi Aplikasi SSL

2. Setelah Anda mendapatkan respons dari penyedia sertifikat Anda, impor ke penyimpanan Komputer Lokal di setiap layanan federasi direktori aktif dan server Proksi Aplikasi Web.

3. Di server LAYANAN Federasi Direktori Aktif utama , gunakan cmdlet berikut untuk menginstal sertifikat SSL baru

Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'

Thumbprint sertifikat dapat ditemukan dengan menjalankan perintah ini:

dir Cert:\LocalMachine\My\

Catatan Tambahan

• Cmdlet Set-AdfsAlternateTlsClientBinding adalah cmdlet multi-simpul; ini berarti hanya harus berjalan dari primer dan semua simpul di farm akan diperbarui.
• Cmdlet Set-AdfsAlternateTlsClientBinding harus dijalankan hanya di server utama. Server utama harus menjalankan Server 2016 dan Tingkat Perilaku Farm harus dinaikkan ke 2016.
• Cmdlet Set-AdfsAlternateTlsClientBinding akan menggunakan PowerShell Remoting untuk mengonfigurasi server LAYANAN Federasi Direktori Aktif lainnya, pastikan port 5985 (TCP) terbuka pada simpul lain.
• Cmdlet Set-AdfsAlternateTlsClientBinding akan memberikan izin baca utama adfssrv ke kunci privat sertifikat SSL. Perwakilan ini mewakili layanan Layanan Federasi Direktori Aktif. Tidak perlu memberikan akses baca akun layanan Layanan Federasi Direktori Aktif ke kunci privat sertifikat SSL.

Mengganti sertifikat SSL untuk Proksi Aplikasi Web

Untuk mengonfigurasi pengikatan autentikasi sertifikat default atau mode pengikatan TLS klien alternatif pada WAP, kita dapat menggunakan cmdlet Set-WebApplicationProxySslCertificate. Untuk mengganti sertifikat Web Proksi Aplikasi SSL, pada setiap server Web Proksi Aplikasi gunakan cmdlet berikut untuk menginstal sertifikat SSL baru:

Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'

Jika cmdlet di atas gagal karena sertifikat lama telah kedaluwarsa, konfigurasi ulang proksi menggunakan cmdlet berikut:

$cred = Get-Credential

Masukkan kredensial pengguna domain yang merupakan administrator lokal di server LAYANAN Federasi Direktori Aktif

Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'

Referensi tambahan

• Dukungan Layanan Federasi Direktori Aktif untuk pengikatan nama host alternatif untuk autentikasi sertifikat
• Layanan Federasi Direktori Aktif dan informasi properti KeySpec sertifikat