Gestione dei certificati SSL in AD FS e WAP in Windows Server 2016

Questo articolo descrive come distribuire un nuovo certificato SSL nei server AD FS e WAP.

Nota

Il modo consigliato per sostituire il certificato SSL in futuro per una farm AD FS è usare Azure AD Connessione. Per altre informazioni, vedere Aggiornare il certificato SSL per una farm Active Directory Federation Services (AD FS)

Ottenere i certificati SSL

Per le AD FS farm è consigliabile un certificato SSL attendibile pubblicamente. Questa operazione viene in genere ottenuta inviando una richiesta di firma del certificato a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare la csr, tra cui da un PC Windows 7 o versione successiva. Il fornitore deve avere la documentazione a questo scopo.

Numero di certificati necessari

È consigliabile usare un certificato SSL comune in tutti i server AD FS web Application Proxy. Per informazioni dettagliate, vedere il documento AD FS e i requisiti del certificato SSL Application Proxy Web

Requisiti dei certificati SSL

Per i requisiti, tra cui la denominazione, la radice di attendibilità e le estensioni, vedere il documento AD FS e i requisiti del certificato SSL Application Proxy Web

Sostituzione del certificato SSL per AD FS

Nota

Il certificato SSL di AD FS è diverso dal certificato di comunicazione del servizio AD FS disponibile nello snap-in Gestione AD FS. Per modificare il AD FS certificato SSL, è necessario usare PowerShell.

Prima di tutto, determinare la modalità di associazione del certificato in AD FS server: l'associazione di autenticazione del certificato predefinita o la modalità di associazione TLS del client alternativa.

Sostituzione del certificato SSL per l'AD FS in esecuzione in modalità di associazione di autenticazione del certificato predefinita

AD FS per impostazione predefinita esegue l'autenticazione del certificato del dispositivo sulla porta 443 e l'autenticazione del certificato utente sulla porta 49443 (o su una porta configurabile diversa dalla porta 443). In questa modalità usare il cmdlet powershell Set-AdfsSslCertificate gestire il certificato SSL.

Seguire la procedura descritta di seguito:

  1. In primo luogo, è necessario ottenere il nuovo certificato. Questa operazione viene in genere eseguita inviando una richiesta di firma del certificato a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare la csr, tra cui da un PC Windows 7 o versione successiva. Il fornitore deve avere la documentazione a questo scopo.

  2. Dopo aver visualizzato la risposta dal provider di certificati, importarla nell'archivio Del computer locale in ogni server AD FS e Application Proxy Web.

  3. Nel server AD FS primario usare il cmdlet seguente per installare il nuovo certificato SSL

Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'

Per trovare l'identificazione personale del certificato, eseguire questo comando:

dir Cert:\LocalMachine\My\

Note aggiuntive

  • Il cmdlet Set-AdfsSslCertificate è un cmdlet a più nodi. Ciò significa che deve essere eseguito solo dal database primario e tutti i nodi nella farm verranno aggiornati. Si tratta di una novità di Server 2016. In Server 2012 R2 era necessario eseguire Set-AdfsSslCertificate in ogni server.
  • Il Set-AdfsSslCertificate cmdlet deve essere eseguito solo nel server primario. Il server primario deve eseguire Server 2016 e il livello di comportamento della farm deve essere aumentato a 2016.
  • Il cmdlet Set-AdfsSslCertificate userà la comunicazione remota di PowerShell per configurare gli altri server AD FS, assicurarsi che la porta 5985 (TCP) sia aperta negli altri nodi.
  • Il cmdlet Set-AdfsSslCertificate concederà all'entità adfssrv le autorizzazioni di lettura per le chiavi private del certificato SSL. Questa entità rappresenta il AD FS servizio. Non è necessario concedere all'account del servizio AD FS accesso in lettura alle chiavi private del certificato SSL.

Sostituzione del certificato SSL per l'AD FS in esecuzione in modalità di associazione TLS alternativa

Se configurato in modalità di associazione TLS client alternativa, AD FS esegue l'autenticazione del certificato del dispositivo sulla porta 443 e l'autenticazione del certificato utente anche sulla porta 443, su un nome host diverso. Il nome host del certificato utente è AD FS nome host predefinito con "certauth", ad esempio "certauth.fs.contoso.com". In questa modalità usare il cmdlet powershell Set-AdfsAlternateTlsClientBinding gestire il certificato SSL. Questa operazione gestirà non solo l'associazione TLS client alternativa, ma tutte le altre associazioni in cui AD FS imposta anche il certificato SSL.

Seguire la procedura descritta di seguito:

  1. In primo luogo, è necessario ottenere il nuovo certificato. Questa operazione viene in genere eseguita inviando una richiesta di firma del certificato a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare la csr, tra cui da un PC Windows 7 o versione successiva. Il fornitore deve avere la documentazione a questo scopo.

  2. Dopo aver visualizzato la risposta dal provider di certificati, importarla nell'archivio Del computer locale in ogni server AD FS e Application Proxy Web.

  3. Nel server AD FS primario usare il cmdlet seguente per installare il nuovo certificato SSL

Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'

Per trovare l'identificazione personale del certificato, eseguire questo comando:

dir Cert:\LocalMachine\My\

Note aggiuntive

  • Il cmdlet Set-AdfsAlternateTlsClientBinding è un cmdlet a più nodi. Ciò significa che deve essere eseguito solo dal database primario e tutti i nodi nella farm verranno aggiornati.
  • Il Set-AdfsAlternateTlsClientBinding cmdlet deve essere eseguito solo nel server primario. Il server primario deve eseguire Server 2016 e il livello di comportamento della farm deve essere aumentato a 2016.
  • Il cmdlet Set-AdfsAlternateTlsClientBinding userà la comunicazione remota di PowerShell per configurare gli altri server AD FS, assicurarsi che la porta 5985 (TCP) sia aperta negli altri nodi.
  • Il cmdlet Set-AdfsAlternateTlsClientBinding concederà all'entità adfssrv le autorizzazioni di lettura per le chiavi private del certificato SSL. Questa entità rappresenta il AD FS servizio. Non è necessario concedere all'account del servizio AD FS accesso in lettura alle chiavi private del certificato SSL.

Sostituzione del certificato SSL per l'Application Proxy Web

Per configurare l'associazione di autenticazione del certificato predefinita o la modalità di associazione TLS del client alternativa nel WAP, è possibile usare il cmdlet Set-WebApplicationProxySslCertificate. Per sostituire il certificato SSL Application Proxy Web, in ogni server Web Application Proxy usare il cmdlet seguente per installare il nuovo certificato SSL:

Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'

Se il cmdlet precedente ha esito negativo perché il certificato precedente è già scaduto, riconfigurare il proxy usando i cmdlet seguenti:

$cred = Get-Credential

Immettere le credenziali di un utente di dominio che è amministratore locale nel server AD FS

Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'

Altri riferimenti