Partager via


Gérer les certificats TLS/SSL dans AD FS et WAP dans Windows Server 2016

Cet article explique comment déployer un nouveau certificat TLS/SSL sur vos serveurs AD FS (Active Directory Federation Services) et proxy d’application web (WAP).

Remarque

La méthode recommandée pour remplacer le certificat TLS/SSL pour une batterie de serveurs AD FS consiste à utiliser Microsoft Entra Connect. Pour plus d’informations, consultez Mettre à jour le certificat TLS/SSL pour une batterie de serveurs Ad FS (Active Directory Federation Services).

Obtenir vos certificats TLS/SSL

Pour les batteries de serveurs AD FS de production, un certificat TLS/SSL approuvé publiquement est recommandé. AD FS obtient ce certificat en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe plusieurs façons de générer la demande de signature de certificat, notamment à partir d’un PC Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.

Certificats nécessaires

Vous devez utiliser un certificat TLS/SSL commun sur tous les serveurs AD FS et WAP. Pour connaître les exigences détaillées, consultez les exigences de certificat TLS/SSL du proxy d’application web et AD FS.

Configuration requise des certificats TLS/SSL

Pour connaître les exigences, notamment l’affectation des noms de la racine de confiance et des extensions, consultez Exigences concernant les certificats TLS/SSL pour AD FS et le proxy d’application Web.

Remplacer le certificat TLS/SSL pour AD FS

Remarque

Le certificat TLS/SSL AD FS n’est pas identique au certificat de communication du service AD FS trouvé dans le composant logiciel enfichable Gestion AD FS. Pour modifier le certificat TLS/SSL AD FS, vous devez utiliser PowerShell.

Tout d’abord, déterminez si vos serveurs AD FS exécutent le mode de liaison d’authentification par certificat par défaut ou le mode de liaison TLS du client de remplacement.

Remplacez le certificat TLS/SSL pour AD FS qui fonctionne en mode de liaison d'authentification par certificat par défaut.

AD FS par défaut effectue l’authentification par certificat d’appareil sur le port 443 et l’authentification par certificat utilisateur sur le port 49443 (ou un port configurable qui n’est pas 443). Dans ce mode, utilisez l’applet de commande Set-AdfsSslCertificate PowerShell pour gérer le certificat TLS/SSL, comme indiqué dans les étapes suivantes :

  1. Tout d’abord, vous devez obtenir le nouveau certificat. Vous pouvez l’obtenir en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe différentes façons de générer la demande de signature de certificat, notamment à partir d’un ordinateur Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.

  2. Après avoir obtenu la réponse de votre fournisseur de certificats, importez-la dans le magasin d’ordinateurs local sur chaque instance AD FS et WAP.

  3. Sur le serveur AD FS principal , utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :

Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'

Vous trouverez l’empreinte numérique du certificat en exécutant cette commande :

dir Cert:\LocalMachine\My\

Remplacez le certificat TLS/SSL pour AD FS exécuté en mode de liaison TLS alternative

Lorsqu’il est configuré en mode de liaison TLS du client de remplacement, AD FS effectue l’authentification par certificat d’appareil sur le port 443. Il effectue également l’authentification par certificat utilisateur sur le port 443, sur un autre nom d’hôte. Le nom d’hôte du certificat d’utilisateur est le nom d’hôte AD FS prédéfini avec certauth, par exemple certauth.fs.contoso.com. Dans ce mode, utilisez l’applet de commande Set-AdfsAlternateTlsClientBinding PowerShell pour gérer le certificat TLS/SSL. Cette applet de commande gère non seulement la liaison TLS du client alternative, mais toutes les autres liaisons sur lesquelles AD FS définit également le certificat TLS/SSL.

Procédez comme suit pour remplacer votre certificat TLS/SSL pour AD FS s’exécutant en mode de liaison TLS de remplacement.

  1. Tout d’abord, vous devez obtenir le nouveau certificat. Vous pouvez l’obtenir en envoyant une demande de signature de certificat (CSR) à un fournisseur de certificats public tiers. Il existe différentes façons de générer la demande de signature de certificat, notamment à partir d’un ordinateur Windows 7 ou version ultérieure. Votre fournisseur doit disposer d’une documentation pour ce processus.

  2. Après avoir obtenu la réponse de votre fournisseur de certificats, importez-la dans le magasin d’ordinateurs local sur chaque instance AD FS et WAP.

  3. Sur le serveur AD FS principal , utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :

Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'

Vous trouverez l’empreinte numérique du certificat en exécutant cette commande :

dir Cert:\LocalMachine\My\

Autres considérations relatives aux certificats TLS/SSL en liaison d’authentification par défaut et en mode de liaison TLS de remplacement

  • Les cmdlets Set-AdfsSslCertificate et Set-AdfsAlternateTlsClientBinding sont des cmdlets à plusieurs nœuds, ils doivent donc uniquement s'exécuter depuis le serveur principal. Les applets de commande mettent également à jour tous les nœuds de la batterie de serveurs. Cette modification est nouvelle dans Server 2016. Sur Server 2012 R2, vous devez exécuter l’applet de commande sur chaque serveur.
  • Les applets de commande Set-AdfsSslCertificate et Set-AdfsAlternateTlsClientBinding doivent s’exécuter uniquement sur le serveur principal. Le serveur principal doit exécuter Server 2016 et vous devez élever le niveau de comportement de la batterie de serveurs à 2016.
  • Set-AdfsSslCertificate et Set-AdfsAlternateTlsClientBinding les applets de commande utilisent PowerShell Remoting pour configurer les autres serveurs AD FS. Assurez-vous que le port 5985 (TCP) est ouvert sur les autres nœuds.
  • Les cmdlets Set-AdfsSslCertificate et Set-AdfsAlternateTlsClientBinding accordent au principal adfssrv des autorisations de lecture sur les clés privées du certificat TLS/SSL. Ce principal représente le service AD FS. Il n’est pas nécessaire d’accorder au compte de service AD FS un accès en lecture aux clés privées du certificat TLS/SSL.

Remplacer le certificat TLS/SSL pour le proxy d’application web

Si vous souhaitez configurer les deux, la liaison d’authentification par certificat par défaut ou le mode de liaison TLS du client secondaire sur le protocole WAP, vous pouvez utiliser l’applet Set-WebApplicationProxySslCertificate de commande. Pour remplacer le certificat TLS/SSL WAP sur chaque serveur WAP, utilisez l’applet de commande suivante pour installer le nouveau certificat TLS/SSL :

Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'

Si l’applet de commande ci-dessus échoue, car l’ancien certificat a déjà expiré, reconfigurez le proxy à l’aide des applets de commande suivantes :

$cred = Get-Credential

Entrez les informations d’identification d’un utilisateur de domaine qui est administrateur local sur le serveur AD FS

Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'