Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cet article explique comment déployer un nouveau certificat TLS/SSL sur vos serveurs AD FS (Active Directory Federation Services) et proxy d’application web (WAP).
Remarque
La méthode recommandée pour remplacer le certificat TLS/SSL pour une batterie de serveurs AD FS consiste à utiliser Microsoft Entra Connect. Pour plus d’informations, consultez Mettre à jour le certificat TLS/SSL pour une batterie de serveurs Ad FS (Active Directory Federation Services).
Obtenir vos certificats TLS/SSL
Pour les batteries de serveurs AD FS de production, un certificat TLS/SSL approuvé publiquement est recommandé. AD FS obtient ce certificat en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe plusieurs façons de générer la demande de signature de certificat, notamment à partir d’un PC Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.
- Vérifiez que le certificat répond aux exigences de certificat TLS/SSL du proxy d’application web et AD FS.
Certificats nécessaires
Vous devez utiliser un certificat TLS/SSL commun sur tous les serveurs AD FS et WAP. Pour connaître les exigences détaillées, consultez les exigences de certificat TLS/SSL du proxy d’application web et AD FS.
Configuration requise des certificats TLS/SSL
Pour connaître les exigences, notamment l’affectation des noms de la racine de confiance et des extensions, consultez Exigences concernant les certificats TLS/SSL pour AD FS et le proxy d’application Web.
Remplacer le certificat TLS/SSL pour AD FS
Remarque
Le certificat TLS/SSL AD FS n’est pas identique au certificat de communication du service AD FS trouvé dans le composant logiciel enfichable Gestion AD FS. Pour modifier le certificat TLS/SSL AD FS, vous devez utiliser PowerShell.
Tout d’abord, déterminez si vos serveurs AD FS exécutent le mode de liaison d’authentification par certificat par défaut ou le mode de liaison TLS du client de remplacement.
Remplacez le certificat TLS/SSL pour AD FS qui fonctionne en mode de liaison d'authentification par certificat par défaut.
AD FS par défaut effectue l’authentification par certificat d’appareil sur le port 443 et l’authentification par certificat utilisateur sur le port 49443 (ou un port configurable qui n’est pas 443).
Dans ce mode, utilisez l’applet de commande Set-AdfsSslCertificate
PowerShell pour gérer le certificat TLS/SSL, comme indiqué dans les étapes suivantes :
Tout d’abord, vous devez obtenir le nouveau certificat. Vous pouvez l’obtenir en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe différentes façons de générer la demande de signature de certificat, notamment à partir d’un ordinateur Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.
- Vérifiez que le certificat répond aux exigences de certificat SSL du proxy d’application web et AD FS
Après avoir obtenu la réponse de votre fournisseur de certificats, importez-la dans le magasin d’ordinateurs local sur chaque instance AD FS et WAP.
Sur le serveur AD FS principal , utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
Vous trouverez l’empreinte numérique du certificat en exécutant cette commande :
dir Cert:\LocalMachine\My\
Remplacez le certificat TLS/SSL pour AD FS exécuté en mode de liaison TLS alternative
Lorsqu’il est configuré en mode de liaison TLS du client de remplacement, AD FS effectue l’authentification par certificat d’appareil sur le port 443. Il effectue également l’authentification par certificat utilisateur sur le port 443, sur un autre nom d’hôte. Le nom d’hôte du certificat d’utilisateur est le nom d’hôte AD FS prédéfini avec certauth
, par exemple certauth.fs.contoso.com
.
Dans ce mode, utilisez l’applet de commande Set-AdfsAlternateTlsClientBinding
PowerShell pour gérer le certificat TLS/SSL. Cette applet de commande gère non seulement la liaison TLS du client alternative, mais toutes les autres liaisons sur lesquelles AD FS définit également le certificat TLS/SSL.
Procédez comme suit pour remplacer votre certificat TLS/SSL pour AD FS s’exécutant en mode de liaison TLS de remplacement.
Tout d’abord, vous devez obtenir le nouveau certificat. Vous pouvez l’obtenir en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe différentes façons de générer la demande de signature de certificat, notamment à partir d’un ordinateur Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.
- Vérifiez que le certificat répond aux exigences de certificat TLS/SSL du proxy d’application web et AD FS.
Après avoir obtenu la réponse de votre fournisseur de certificats, importez-la dans le magasin d’ordinateurs local sur chaque instance AD FS et WAP.
Sur le serveur AD FS principal , utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
Vous trouverez l’empreinte numérique du certificat en exécutant cette commande :
dir Cert:\LocalMachine\My\
Autres considérations relatives aux certificats TLS/SSL en liaison d’authentification par défaut et en mode de liaison TLS de remplacement
- Les cmdlets
Set-AdfsSslCertificate
etSet-AdfsAlternateTlsClientBinding
sont des cmdlets à plusieurs nœuds, ils doivent donc uniquement s'exécuter depuis le serveur principal. Les applets de commande mettent également à jour tous les nœuds de la batterie de serveurs. Cette modification est nouvelle dans Server 2016. Sur Server 2012 R2, vous devez exécuter l’applet de commande sur chaque serveur. - Les applets de commande
Set-AdfsSslCertificate
etSet-AdfsAlternateTlsClientBinding
doivent s’exécuter uniquement sur le serveur principal. Le serveur principal doit exécuter Server 2016 et vous devez élever le niveau de comportement de la batterie de serveurs à 2016. Set-AdfsSslCertificate
etSet-AdfsAlternateTlsClientBinding
les applets de commande utilisent PowerShell Remoting pour configurer les autres serveurs AD FS. Assurez-vous que le port 5985 (TCP) est ouvert sur les autres nœuds.- Les cmdlets
Set-AdfsSslCertificate
etSet-AdfsAlternateTlsClientBinding
accordent au principal adfssrv des autorisations de lecture sur les clés privées du certificat TLS/SSL. Ce principal représente le service AD FS. Il n’est pas nécessaire d’accorder au compte de service AD FS un accès en lecture aux clés privées du certificat TLS/SSL.
Remplacer le certificat TLS/SSL pour le proxy d’application web
Si vous souhaitez configurer les deux, la liaison d’authentification par certificat par défaut ou le mode de liaison TLS du client secondaire sur le protocole WAP, vous pouvez utiliser l’applet Set-WebApplicationProxySslCertificate
de commande.
Pour remplacer le certificat TLS/SSL WAP sur chaque serveur WAP, utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
Si l’applet de commande ci-dessus échoue, car l’ancien certificat a déjà expiré, reconfigurez le proxy à l’aide des applets de commande suivantes :
$cred = Get-Credential
Entrez les informations d’identification d’un utilisateur de domaine qui est administrateur local sur le serveur AD FS
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'