Atualizar o certificado TLS/SSL para um farm dos Serviços de Federação do Ative Directory (AD FS)

  • Artigo

Descrição geral

Este artigo descreve como você pode usar o Microsoft Entra Connect para atualizar o certificado TLS/SSL para um farm dos Serviços de Federação do Ative Directory (AD FS). Você pode usar a ferramenta Microsoft Entra Connect para atualizar facilmente o certificado TLS/SSL para o farm do AD FS, mesmo que o método de entrada do usuário selecionado não seja o AD FS.

Você pode executar toda a operação de atualização do certificado TLS/SSL para o farm do AD FS em todos os servidores de federação e WAP (Web Application Proxy) em três etapas simples:

Three steps

Nota

Para saber mais sobre certificados usados pelo AD FS, consulte Noções básicas sobre certificados usados pelo AD FS.

Pré-requisitos

  • Farm do AD FS: verifique se o farm do AD FS é baseado no Windows Server 2012 R2 ou posterior.
  • Microsoft Entra Connect: Certifique-se de que a versão do Microsoft Entra Connect é 1.1.553.0 ou superior. Você usará a tarefa Atualizar certificado AD FS SSL.

Update TLS task

Etapa 1: Fornecer informações do farm do AD FS

O Microsoft Entra Connect tenta obter informações sobre o farm do AD FS automaticamente:

  1. Consultando as informações do farm do AD FS (Windows Server 2016 ou posterior).
  2. Fazendo referência às informações de execuções anteriores, que são armazenadas localmente com o Microsoft Entra Connect.

Você pode modificar a lista de servidores exibidos adicionando ou removendo os servidores para refletir a configuração atual do farm do AD FS. Assim que as informações do servidor são fornecidas, o Microsoft Entra Connect exibe a conectividade e o status atual do certificado TLS/SSL.

AD FS server info

Se a lista contiver um servidor que não faz mais parte do farm do AD FS, clique em Remover para excluir o servidor da lista de servidores do farm do AD FS.

Offline server in list

Nota

A remoção de um servidor da lista de servidores de um farm do AD FS no Microsoft Entra Connect é uma operação local e atualiza as informações do farm do AD FS que o Microsoft Entra Connect mantém localmente. O Microsoft Entra Connect não modifica a configuração no AD FS para refletir a alteração.

Etapa 2: Fornecer um novo certificado TLS/SSL

Depois de confirmar as informações sobre os servidores de farm do AD FS, o Microsoft Entra Connect solicita o novo certificado TLS/SSL. Forneça um certificado PFX protegido por senha para continuar a instalação.

TLS/SSL certificate

Depois de fornecer o certificado, o Microsoft Entra Connect passa por uma série de pré-requisitos. Verifique o certificado para garantir que ele esteja correto para o farm do AD FS:

  • O nome da entidade/nome da entidade alternativa para o certificado é o mesmo que o nome do serviço de federação ou é um certificado curinga.
  • O certificado é válido por mais de 30 dias.
  • A cadeia de confiança do certificado é válida.
  • O certificado é protegido por senha.

Etapa 3: Selecionar servidores para a atualização

Na próxima etapa, selecione os servidores que precisam ter o certificado TLS/SSL atualizado. Os servidores que estão offline não podem ser selecionados para a atualização.

Select servers to update

Depois de concluir a configuração, o Microsoft Entra Connect exibe a mensagem que indica o status da atualização e fornece uma opção para verificar a entrada do AD FS.

Configuration complete

FAQs do

  • Qual deve ser o nome do assunto do certificado para o novo certificado AD FS TLS/SSL?

    O Microsoft Entra Connect verifica se o nome da entidade/nome da entidade alternativa do certificado contém o nome do serviço de federação. Por exemplo, se o nome do serviço de federação for fs.contoso.com, o nome da entidade/nome da entidade alternativa deverá ser fs.contoso.com. Certificados curinga também são aceitos.

  • Por que me pedem credenciais novamente na página do servidor WAP?

    Se as credenciais fornecidas para se conectar aos servidores AD FS também não tiverem o privilégio de gerenciar os servidores WAP, o Microsoft Entra Connect solicitará credenciais com privilégio administrativo nos servidores WAP.

  • O servidor é mostrado como offline. O que devo fazer?

    O Microsoft Entra Connect não pode executar nenhuma operação se o servidor estiver offline. Se o servidor fizer parte do farm do AD FS, verifique a conectividade com o servidor. Depois de resolver o problema, pressione o ícone de atualização para atualizar o status no assistente. Se o servidor fazia parte do farm anteriormente, mas agora não existe mais, clique em Remover para excluí-lo da lista de servidores que o Microsoft Entra Connect mantém. Remover o servidor da lista no Microsoft Entra Connect não altera a configuração do AD FS em si. Se você estiver usando o AD FS no Windows Server 2016 ou posterior, o servidor permanecerá nas definições de configuração e será mostrado novamente na próxima vez que a tarefa for executada.

  • Posso atualizar um subconjunto dos servidores do meu farm com o novo certificado TLS/SSL?

    Sim. Você sempre pode executar a tarefa Atualizar Certificado SSL novamente para atualizar os servidores restantes. Na página Selecionar servidores para atualização de certificado SSL, você pode classificar a lista de servidores na Data de expiração SSL para acessar facilmente os servidores que ainda não foram atualizados.

  • Eu removi o servidor na execução anterior, mas ele ainda está sendo mostrado como offline e listado na página Servidores AD FS. Por que o servidor offline ainda está lá mesmo depois que eu o removi?

    Remover o servidor da lista no Microsoft Entra Connect não o remove na configuração do AD FS. O Microsoft Entra Connect faz referência ao AD FS (Windows Server 2016 ou superior) para obter informações sobre o farm. Se o servidor ainda estiver presente na configuração do AD FS, ele será listado novamente na lista.

Próximos passos