Verwalten von TLS/SSL-Zertifikaten in AD FS und WAP in Windows Server 2016
In diesem Artikel wird beschrieben, wie Sie ein neues TLS/SSL-Zertifikat auf Ihren AD FS-Servern (Active Directory Federation Services, Active Directory-Verbunddienste) und auf Ihren WAP-Servern (Webanwendungsproxy) bereitstellen.
Hinweis
Der empfohlene Weg, das TLS/SSL-Zertifikat für eine AD FS-Farm zu ersetzen, ist die Verwendung von Microsoft Entra Connect. Weitere Informationen finden Sie unter Aktualisieren des TLS/SSL-Zertifikats für eine AD FS-Farm (Active Directory Federation Services).
Abrufen Ihrer TLS/SSL-Zertifikate
Für AD FS-Produktionsfarmen wird ein öffentlich vertrauenswürdiges TLS/SSL-Zertifikat empfohlen. Zum Abrufen dieses Zertifikats übermittelt AD FS eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) an einen Drittanbieter für öffentliche Zertifikate. Es gibt verschiedene Möglichkeiten zum Generieren der CSR. Beispielsweise kann hierfür ein PC mit Windows 7 oder einer höheren Version verwendet werden. Ihr Anbieter sollte über eine Dokumentation für diesen Prozess verfügen.
- Stellen Sie sicher, dass das Zertifikat die Zertifikatanforderungen erfüllt.
Erforderliche Zertifikate
Es empfiehlt sich, ein gemeinsames TLS/SSL-Zertifikat für alle AD FS- und WAP-Server zu verwenden. Ausführliche Informationen zu den Anforderungen finden Sie im Artikel „AD FS-Anforderungen“ unter Zertifikatanforderungen.
TLS/SSL-Zertifikatanforderungen
Informationen zu Anforderungen wie der Benennung des Stamms der Vertrauensstellung und der Erweiterungen finden Sie im Artikel „AD FS-Anforderungen“ unter Zertifikatanforderungen.
Ersetzen des TLS/SSL-Zertifikats für AD FS
Hinweis
Das TLS/SSL-Zertifikat für AD FS ist nicht identisch mit dem Zertifikat für die AD FS-Dienstkommunikation, das im Snap-in „AD FS-Verwaltung“ enthalten ist. Zum Ändern des TLS/SSL-Zertifikats von AD FS muss PowerShell verwendet werden.
Bestimmen Sie zunächst, ob Ihre AD FS-Server im Standardmodus für die Zertifikatauthentifizierungsbindung oder im Modus für alternative TLS-Clientbindungen betrieben werden.
Ersetzen des TLS/SSL-Zertifikats für AD FS im Standardmodus für die Zertifikatauthentifizierungsbindung
AD FS führt standardmäßig die Gerätezertifikatauthentifizierung am Port 443 und die Benutzerzertifikatauthentifizierung am Port 49443 durch (oder an einem konfigurierbaren Port, bei dem es sich nicht um den Port 443 handelt).
Verwenden Sie in diesem Modus das PowerShell-Cmdlet Set-AdfsSslCertificate, um das TLS/SSL-Zertifikat zu verwalten, wie in den folgenden Schritten gezeigt:
Rufen Sie zunächst das neue Zertifikat ab. Hierzu können Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) an einen Drittanbieter für öffentliche Zertifikate übermittelt. Es gibt verschiedene Möglichkeiten zum Generieren der CSR. Beispielsweise kann hierfür ein Computer mit Windows 7 oder einer höheren Version verwendet werden. Ihr Anbieter sollte über eine Dokumentation für diesen Prozess verfügen.
- Stellen Sie sicher, dass das Zertifikat die Anforderungen der SSL-Zertifikate für AD FS und Webanwendungsproxys erfüllt.
Nachdem Sie die Antwort von Ihrem Zertifikatanbieter erhalten haben, importieren Sie sie in den lokalen Computerspeicher der einzelnen AD FS- und WAP-Instanzen.
Verwenden Sie auf dem primären AD FS-Server das folgende Cmdlet, um das neue TLS/SSL-Zertifikat zu installieren:
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
Der Zertifikatfingerabdruck kann durch Ausführen des folgenden Befehls ermittelt werden:
dir Cert:\LocalMachine\My\
Ersetzen des TLS/SSL-Zertifikats für AD FS im Modus für alternative TLS-Bindungen
Bei der Konfiguration im Modus für alternative TLS-Clientbindungen führt AD FS die Gerätezertifikatauthentifizierung am Port 443 durch. Die Benutzerzertifikatauthentifizierung wird ebenfalls am Port 443 durchgeführt, allerdings unter einem anderen Hostnamen. Der Hostname des Benutzerzertifikats ist der AD FS-Hostname, dem certauth vorangestellt wird (Beispiel: certauth.fs.contoso.com).
Verwenden Sie in diesem Modus das PowerShell-Cmdlet Set-AdfsAlternateTlsClientBinding, um das TLS/SSL-Zertifikat zu verwalten. Dieses Cmdlet verwaltet nicht nur die alternative TLS-Clientbindung, sondern auch alle anderen Bindungen, für die AD FS das TLS/SSL-Zertifikat festlegt.
Führen Sie die folgenden Schritte aus, um Ihr TLS/SSL-Zertifikat für AD FS im Modus für alternative TLS-Bindungen zu ersetzen:
Rufen Sie zunächst das neue Zertifikat ab. Hierzu können Sie eine Zertifikatsignieranforderung (Certificate Signing Request, CSR) an einen Drittanbieter für öffentliche Zertifikate übermittelt. Es gibt verschiedene Möglichkeiten zum Generieren der CSR. Beispielsweise kann hierfür ein Computer mit Windows 7 oder einer höheren Version verwendet werden. Ihr Anbieter sollte über eine Dokumentation für diesen Prozess verfügen.
- Stellen Sie sicher, dass das Zertifikat die Zertifikatanforderungen erfüllt.
Nachdem Sie die Antwort von Ihrem Zertifikatanbieter erhalten haben, importieren Sie sie in den lokalen Computerspeicher der einzelnen AD FS- und WAP-Instanzen.
Verwenden Sie auf dem primären AD FS-Server das folgende Cmdlet, um das neue TLS/SSL-Zertifikat zu installieren:
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
Der Zertifikatfingerabdruck kann durch Ausführen des folgenden Befehls ermittelt werden:
dir Cert:\LocalMachine\My\
Weitere Überlegungen zu TLS/SSL-Zertifikaten im Standardmodus für die Zertifikatauthentifizierungsbindung und im Modus für alternative TLS-Bindungen
- Die Cmdlets
Set-AdfsSslCertificateundSet-AdfsAlternateTlsClientBindingsind Cmdlets für mehrere Knoten und müssen daher nur auf dem primären Server ausgeführt werden. Die Cmdlets aktualisieren auch alle Knoten in der Farm. Diese Änderung ist in Server 2016 neu. In Server 2012 R2 musste das Cmdlet auf jedem Server ausgeführt werden. - Die Cmdlets
Set-AdfsSslCertificateundSet-AdfsAlternateTlsClientBindingmüssen nur auf dem primären Server ausgeführt werden. Der primäre Server muss über Server 2016 verfügen, und die Farmverhaltensebene sollte auf 2016 erhöht werden. - Die Cmdlets
Set-AdfsSslCertificateundSet-AdfsAlternateTlsClientBindingverwenden PowerShell-Remoting, um die anderen AD FS-Server zu konfigurieren. Stellen Sie sicher, dass der Port 5985 (TCP) auf den anderen Knoten geöffnet ist. - Die Cmdlets
Set-AdfsSslCertificateundSet-AdfsAlternateTlsClientBindingerteilen dem Prinzipal „adfssrv“ Leseberechtigungen für die privaten Schlüssel des TLS/SSL-Zertifikats. Dieser Prinzipal stellt den AD FS-Dienst dar. Es ist nicht erforderlich, dem AD FS-Dienstkonto Lesezugriff auf die privaten Schlüssel des TLS/SSL-Zertifikats zu gewähren.
Ersetzen des TLS/SSL-Zertifikats für den Webanwendungsproxy
Zum Konfigurieren des Standardmodus für die Zertifikatauthentifizierungsbindung und/oder des Modus für alternative TLS-Clientbindungen auf dem WAP können Sie das Cmdlet Set-WebApplicationProxySslCertificate verwenden.
Verwenden Sie zum Ersetzen des TLS/SSL-Zertifikats für den WAP auf jedem WAP-Server das folgende Cmdlet, um das neue TLS/SSL-Zertifikat zu installieren:
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
Wenn bei dem obigen Cmdlet ein Fehler auftritt, weil das alte Zertifikat bereits abgelaufen ist, konfigurieren Sie den Proxy mithilfe der folgenden Cmdlets neu:
$cred = Get-Credential
Geben Sie die Anmeldeinformationen eines Domänenbenutzers ein, der lokaler Administrator auf dem AD FS-Server ist.
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'