Freigeben über


Verwalten von TLS/SSL-Zertifikaten in AD FS und WAP in Windows Server 2016

In diesem Artikel wird beschrieben, wie Sie ein neues TLS/SSL-Zertifikat auf Ihren Active Directory-Verbunddiensten (AD FS)- und WAP-Servern (Web Application Proxy) bereitstellen.

Hinweis

Die empfohlene Methode zum Ersetzen des TLS/SSL-Zertifikats für eine AD FS-Farm besteht darin, Microsoft Entra Connect zu verwenden. Weitere Informationen finden Sie unter Aktualisieren des TLS/SSL-Zertifikats für eine Active Directory-Verbunddienste (AD FS)-Farm.

Rufen Sie Ihre TLS/SSL-Zertifikate ab

Für AD FS-Produktionsfarmen wird ein öffentlich vertrauenswürdiges TLS/SSL-Zertifikat empfohlen. AD FS erhält dieses Zertifikat durch Übermitteln einer Zertifikatsignaturanforderung (CSR) an einen Drittanbieter, öffentlichen Zertifikatanbieter. Es gibt verschiedene Möglichkeiten, die CSR zu generieren, einschließlich von einem Windows 7- oder höher-PC. Ihr Anbieter sollte über Dokumentationen für diesen Prozess verfügen.

Erforderliche Zertifikate

Sie sollten ein gemeinsames TLS/SSL-Zertifikat auf allen AD FS- und WAP-Servern verwenden. Ausführliche Anforderungen finden Sie unter AD FS- und Webanwendungsproxy-TLS/SSL-Zertifikatanforderungen.

TLS-/SSL-Zertifikatanforderungen

Informationen zu Anforderungen wie der Benennung des Stamms der Vertrauensstellung und der Erweiterungen finden Sie im Artikel „AD FS-Anforderungen“ unter Zertifikatanforderungen.

Ersetzen des TLS/SSL-Zertifikats für AD FS

Hinweis

Das AD FS TLS/SSL-Zertifikat ist nicht mit dem AD FS-Dienstkommunikationszertifikat identisch, das im AD FS-Verwaltungs-Snap-In gefunden wurde. Um das AD FS TLS/SSL-Zertifikat zu ändern, müssen Sie PowerShell verwenden.

Ermitteln Sie zunächst, ob Ihre AD FS-Server den Standardmäßigen Bindungsmodus für die Zertifikatauthentifizierung oder den alternativen TLS-Bindungsmodus des Clients ausführen.

Ersetzen des TLS/SSL-Zertifikats für AD FS, das im Standardmäßigen Zertifikatauthentifizierungsbindungsmodus ausgeführt wird

AD FS führt standardmäßig die Gerätezertifikatauthentifizierung an Port 443 und benutzerzertifikatauthentifizierung am Port 49443 aus (oder einen konfigurierbaren Port, der nicht 443 ist). Verwenden Sie in diesem Modus das PowerShell-Cmdlet Set-AdfsSslCertificate , um das TLS/SSL-Zertifikat zu verwalten, wie in den folgenden Schritten gezeigt:

  1. Zuerst müssen Sie das neue Zertifikat abrufen. Sie können dies erhalten, indem Sie eine Zertifikatsignaturanforderung (CSR) an einen Drittanbieter, öffentlichen Zertifikatanbieter, übermitteln. Es gibt verschiedene Möglichkeiten, die CSR zu generieren, einschließlich von einem Windows 7- oder höher-Computer. Ihr Anbieter sollte über Dokumentationen für diesen Prozess verfügen.

  2. Nachdem Sie die Antwort ihres Zertifikatanbieters erhalten haben, importieren Sie sie in den lokalen Computerspeicher auf jedem AD FS und WAP.

  3. Verwenden Sie auf dem primären AD FS-Server das folgende Cmdlet, um das neue TLS/SSL-Zertifikat zu installieren:

Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'

Der Zertifikatfingerabdruck kann durch Ausführen des folgenden Befehls ermittelt werden:

dir Cert:\LocalMachine\My\

Ersetzen des TLS/SSL-Zertifikats für AD FS, das im alternativen TLS-Bindungsmodus läuft.

Bei der Konfiguration im Modus für alternative TLS-Clientbindungen führt AD FS die Gerätezertifikatauthentifizierung am Port 443 durch. Außerdem wird die Benutzerzertifikatauthentifizierung am Port 443 auf einem anderen Hostnamen ausgeführt. Der Hostname des Benutzerzertifikats ist der mit certauth vorangestellte AD FS-Hostname, z. B. certauth.fs.contoso.com. Verwenden Sie in diesem Modus das PowerShell-Cmdlet Set-AdfsAlternateTlsClientBinding , um das TLS/SSL-Zertifikat zu verwalten. Dieses Cmdlet verwaltet nicht nur die alternative Client-TLS-Bindung, sondern alle anderen Bindungen, für die AD FS auch das TLS/SSL-Zertifikat festlegt.

Führen Sie die folgenden Schritte aus, um Ihr TLS/SSL-Zertifikat für AD FS zu ersetzen, das im alternativen TLS-Bindungsmodus ausgeführt wird.

  1. Zuerst müssen Sie das neue Zertifikat abrufen. Sie können dies erhalten, indem Sie eine Zertifikatsignaturanforderung (CSR) an einen Drittanbieter, öffentlichen Zertifikatanbieter, übermitteln. Es gibt verschiedene Möglichkeiten, die CSR zu generieren, einschließlich von einem Windows 7- oder höher-Computer. Ihr Anbieter sollte über Dokumentationen für diesen Prozess verfügen.

  2. Nachdem Sie die Antwort ihres Zertifikatanbieters erhalten haben, importieren Sie sie in den lokalen Computerspeicher auf jedem AD FS und WAP.

  3. Verwenden Sie auf dem primären AD FS-Server das folgende Cmdlet, um das neue TLS/SSL-Zertifikat zu installieren:

Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'

Der Zertifikatfingerabdruck kann durch Ausführen des folgenden Befehls ermittelt werden:

dir Cert:\LocalMachine\My\

Weitere Aspekte für TLS/SSL-Zertifikate in der Standardzertifikatauthentifizierung und im alternativen TLS-Bindungsmodus

  • Die Cmdlets Set-AdfsSslCertificate und Set-AdfsAlternateTlsClientBinding sind Cmdlets für mehrere Knoten und müssen daher nur auf dem primären Server ausgeführt werden. Die Cmdlets aktualisieren auch alle Knoten in der Farm. Diese Änderung ist neu in Server 2016. Auf Server 2012 R2 mussten Sie das Cmdlet auf jedem Server ausführen.
  • Die Cmdlets Set-AdfsSslCertificate und Set-AdfsAlternateTlsClientBinding müssen nur auf dem primären Server ausgeführt werden. Der primäre Server muss über Server 2016 verfügen, und die Farmverhaltensebene sollte auf 2016 erhöht werden.
  • Die Set-AdfsSslCertificate- und Set-AdfsAlternateTlsClientBinding-Cmdlets verwenden PowerShell Remoting, um die anderen AD FS-Server zu konfigurieren. Stellen Sie sicher, dass Port 5985 (TCP) auf den anderen Knoten geöffnet ist.
  • Die Cmdlets Set-AdfsSslCertificate und Set-AdfsAlternateTlsClientBinding erteilen dem Prinzipal „adfssrv“ Leseberechtigungen für die privaten Schlüssel des TLS/SSL-Zertifikats. Dieser Prinzipal stellt den AD FS-Dienst dar. Es ist nicht erforderlich, dem AD FS-Dienstkonto Lesezugriff auf die privaten Schlüssel des TLS/SSL-Zertifikats zu gewähren.

Ersetzen des TLS/SSL-Zertifikats für den Webanwendungsproxy

Wenn Sie beides konfigurieren möchten, können Sie das Set-WebApplicationProxySslCertificate Cmdlet verwenden, um die Standardauthentifizierungsbindung oder den alternativen TLS-Clientbindungsmodus auf dem WAP zu konfigurieren. Um das WAP TLS/SSL-Zertifikat auf jedem WAP-Server zu ersetzen, verwenden Sie das folgende Cmdlet, um das neue TLS/SSL-Zertifikat zu installieren:

Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'

Wenn das obige Cmdlet fehlschlägt, da das alte Zertifikat bereits abgelaufen ist, konfigurieren Sie den Proxy mithilfe der folgenden Cmdlets neu:

$cred = Get-Credential

Geben Sie die Anmeldeinformationen eines Domänenbenutzers ein, der lokaler Administrator auf dem AD FS-Server ist.

Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'