Nota
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describe cómo implementar un nuevo certificado TLS/SSL en los servidores de Servicios de federación de Active Directory (AD FS) y proxy de aplicación web (WAP).
Nota:
La manera recomendada de reemplazar el certificado TLS/SSL en adelante para una granja de AD FS es usar Microsoft Entra Connect. Para obtener más información, consulte Actualización del certificado TLS/SSL para una granja de servidores de Servicios de federación de Active Directory (AD FS).
Obtención de los certificados TLS/SSL
Para las granjas de servidores de AD FS de producción, se recomienda obtener un certificado TLS/SSL de confianza pública. AD FS obtiene este certificado mediante el envío de una solicitud de firma de certificado (CSR) a un proveedor de certificados público de terceros. Hay varias maneras de generar la CSR, incluido desde un equipo Con Windows 7 o superior. El proveedor debe tener documentación para este proceso.
- Asegúrese de que el certificado cumpla con los requisitos de certificado TLS/SSL de AD FS y del proxy de aplicación web.
Certificados necesarios
Debe usar un certificado TLS/SSL común en todos los servidores AD FS y WAP. Para obtener requisitos detallados, consulte Requisitos de certificado TLS/SSL de AD FS y Proxy de aplicación web.
Requisitos del certificado TLS/SSL
Para conocer los requisitos, incluida la denominación de la raíz de confianza y las extensiones, consulte AD FS y requisitos de certificado TLS/SSL del proxy de aplicaciones web.
Reemplazar el certificado TLS/SSL para AD FS
Nota:
El certificado TLS/SSL de AD FS no es el mismo que el certificado de comunicaciones del servicio de AD FS que se encuentra en el complemento Administración de AD FS. Para cambiar el certificado TLS/SSL de AD FS, debe usar PowerShell.
En primer lugar, determine si los servidores de AD FS ejecutan el modo de enlace de autenticación de certificados predeterminado o el modo de enlace TLS de cliente alternativo.
Reemplace el certificado TLS/SSL para AD FS que se ejecuta en el modo de enlace de autenticación de certificados predeterminado.
AD FS realiza de forma predeterminada la autenticación de certificados de dispositivo en el puerto 443 y la autenticación de certificados de usuario en el puerto 49443 (o un puerto configurable que no es 443).
En este modo, use el cmdlet Set-AdfsSslCertificate de PowerShell para administrar el certificado TLS/SSL, como se muestra en los pasos siguientes:
En primer lugar, debe obtener el nuevo certificado. Para obtenerlo, envíe una solicitud de firma de certificado (CSR) a un proveedor de certificados público de terceros. Hay varias maneras de generar la CSR, incluido desde un equipo con Windows 7 o superior. El proveedor debe tener documentación para este proceso.
- Asegúrese de que el certificado cumple los requisitos de certificado SSL de AD FS y Web Application Proxy
Después de obtener la respuesta del proveedor de certificados, impórtela al almacén de máquinas locales en cada AD FS y WAP.
En el servidor de AD FS principal , use el siguiente cmdlet para instalar el nuevo certificado TLS/SSL:
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
La huella digital del certificado se puede obtener ejecutando este comando:
dir Cert:\LocalMachine\My\
Reemplace el certificado TLS/SSL para AD FS que se ejecuta en modo de enlace TLS alternativo.
Cuando se configura en modo de enlace TLS de cliente alternativo, AD FS realiza la autenticación de certificados de dispositivo en el puerto 443. También realiza la autenticación de certificados de usuario en el puerto 443, en un nombre de host diferente. El nombre de host del certificado de usuario es el nombre de host de AD FS antepuesto con certauth, por ejemplo certauth.fs.contoso.com.
En este modo, use el cmdlet Set-AdfsAlternateTlsClientBinding de PowerShell para administrar el certificado TLS/SSL. Este cmdlet administra no solo el enlace TLS de cliente alternativo, sino todos los demás enlaces en los que AD FS también establece el certificado TLS/SSL.
Siga estos pasos para reemplazar el certificado TLS/SSL para AD FS que se ejecuta en modo de enlace TLS alternativo.
En primer lugar, debe obtener el nuevo certificado. Para obtenerlo, envíe una solicitud de firma de certificado (CSR) a un proveedor de certificados público de terceros. Hay varias maneras de generar la CSR, incluido desde un equipo con Windows 7 o superior. El proveedor debe tener documentación para este proceso.
- Asegúrese de que el certificado cumpla con los requisitos de certificado TLS/SSL de AD FS y del proxy de aplicación web.
Después de obtener la respuesta del proveedor de certificados, impórtela al almacén de máquinas locales en cada AD FS y WAP.
En el servidor de AD FS principal , use el siguiente cmdlet para instalar el nuevo certificado TLS/SSL:
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
La huella digital del certificado se puede obtener ejecutando este comando:
dir Cert:\LocalMachine\My\
Otras consideraciones para los certificados TLS/SSL en el enlace de autenticación de certificados predeterminado y el modo de enlace TLS alternativo
- Los cmdlets
Set-AdfsSslCertificateySet-AdfsAlternateTlsClientBindingson cmdlets de varios nodos, por lo que solo tienen que ejecutarse desde el primario. Los cmdlets también actualizan todos los nodos de la granja. Este cambio es nuevo en Server 2016. En Server 2012 R2, tenía que ejecutar el cmdlet en cada servidor. - Los cmdlets
Set-AdfsSslCertificateySet-AdfsAlternateTlsClientBindingdeben ejecutarse solo en el servidor principal. El servidor principal tiene que ejecutar Server 2016 y debe elevar el nivel de comportamiento de la granja de servidores a 2016. - Los
Set-AdfsSslCertificateySet-AdfsAlternateTlsClientBindingcmdlets usan la comunicación remota de PowerShell para configurar los otros servidores de AD FS. Asegúrese de que el puerto 5985 (TCP) esté abierto en los demás nodos. - Los cmdlets
Set-AdfsSslCertificateySet-AdfsAlternateTlsClientBindingconceden a la entidad de seguridad adfssrv permisos de lectura para las claves privadas del certificado TLS/SSL. Esta entidad de seguridad representa el servicio de AD FS. No es necesario conceder acceso de lectura a la cuenta de servicio de AD FS a las claves privadas del certificado TLS/SSL.
Reemplazo del certificado TLS/SSL para el proxy de aplicación web
Si desea configurar ambos, el enlace de autenticación de certificado predeterminado o el modo de enlace TLS de cliente alternativo en WAP, puede usar el Set-WebApplicationProxySslCertificate cmdlet .
Para reemplazar el certificado TLS/SSL de WAP en cada servidor WAP, use el siguiente cmdlet para instalar el nuevo certificado TLS/SSL:
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
Si se produce un error en el cmdlet anterior porque el certificado anterior ya ha expirado, vuelva a configurar el proxy mediante los siguientes cmdlets:
$cred = Get-Credential
Escriba las credenciales de un usuario de dominio que sea administrador local en el servidor de AD FS.
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'