Suporte do AD FS para associação de nome de host alternativo para autenticação de certificado

  • Artigo

Aplica-se ao Windows Server 2016 e posteriores

Em muitas redes, talvez as políticas do firewall local não permitam o tráfego em portas fora do padrão, como 49443. As portas fora do padrão criaram um problema ao tentar realizar a autenticação de certificado no AD FS antes do Windows Server 2016 porque não é possível usar associações diferentes para autenticação de dispositivo e autenticação de certificado de usuário no mesmo host. Antes do Windows Server 2016, a porta padrão 443 estava associada para receber certificados de dispositivos e não pode ser alterada para dar suporte a várias associações no mesmo canal. A autenticação de cartão inteligente não funciona e não há notificação para os usuários explicando a causa.

O AD FS no Windows Server dá suporte à associação de nome de host alternativo

O AD FS no Windows Server fornece suporte para associação de nome de host alternativo. Há suporte para dois modos. O primeiro modo usa o mesmo host (ou seja, adfs.contoso.com) com portas diferentes (443, 49443). O segundo modo usa hosts diferentes (adfs.contoso.com e certauth.adfs.contoso.com) com a mesma porta (443). O segundo modo exige um certificado TLS/SSL para dar suporte a "certauth.<adfs-service-name>" como um nome alternativo da entidade. A associação de nome do host alternativo pode ser configurada no momento da criação do farm ou posteriormente por meio do PowerShell.

Como configurar a associação de nome do host alternativo para a autenticação de certificado

Há duas maneiras de adicionar a associação de nome do host alternativo para a autenticação de certificado.

  • Ao configurar um novo farm do AD FS com o AD FS para Windows Server 2016, se o certificado contiver um SAN (nome alternativo da entidade), ele será configurado automaticamente para usar o segundo modo mencionado na seção anterior. Significa que ele vai configurar automaticamente dois hosts diferentes (sts.contoso.com e certauth.sts.contoso.com) com a mesma porta.

Se o certificado não contiver um SAN, você verá um aviso informando que os nomes alternativos da entidade do certificado não são compatíveis com certauth.*. Confira as capturas de tela a seguir. A primeira captura de tela mostra uma instalação em que o certificado contém um SAN. A segunda captura de tela mostra um certificado que não continha um SAN.

Screenshot that shows an installation where the certificate contains a SAN.

Screenshot that shows a certificate that doesn't contain a SAN.

  • Depois que o AD FS no Windows Server tiver sido implantado, você poderá usar o cmdlet Set-AdfsAlternateTlsClientBinding do PowerShell para adicionar a associação de nome de host alternativo para autenticação do certificado. Para obter mais informações, confira Set-AdfsAlternateTlsClientBinding.
Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'

Quando solicitado, selecione Sim para confirmar.

alternate hostname binding