Mengelola sertifikat TLS/SSL di Layanan Federasi Direktori Aktif dan WAP di Windows Server 2016

2025-04-08
Berlaku untuk: ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Artikel ini menjelaskan cara menyebarkan sertifikat TLS/SSL baru ke server Layanan Federasi Direktori Aktif (AD FS) dan Proksi Aplikasi Web (WAP) Anda.

Nota

Cara yang disarankan untuk mengganti sertifikat TLS/SSL untuk ke depannya pada farm AD FS adalah dengan menggunakan Microsoft Entra Connect. Untuk informasi selengkapnya, lihat Memperbarui sertifikat TLS/SSL untuk sebuah farm Layanan Federasi Active Directory (AD FS).

Dapatkan sertifikat TLS/SSL Anda

Untuk AD FS farms produksi, sertifikat TLS/SSL yang dipercaya publik direkomendasikan. AD FS mendapatkan sertifikat ini dengan mengirimkan permintaan penandatanganan sertifikat (CSR) kepada penyedia sertifikat publik pihak ketiga. Ada berbagai cara untuk menghasilkan CSR, termasuk dari Windows 7 atau PC yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk proses ini.

Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Application Proxy TLS/SSL.

Sertifikat diperlukan

Anda harus menggunakan sertifikat TLS/SSL umum di semua server AD FS dan WAP. Untuk persyaratan terperinci, lihat Persyaratan sertifikat AD FS dan Web Application Proxy TLS/SSL.

Persyaratan sertifikat TLS/SSL

Untuk persyaratan, termasuk penamaan akar kepercayaan dan ekstensi, lihat Persyaratan sertifikat AD FS dan Web Application Proxy TLS/SSL.

Ganti sertifikat TLS/SSL untuk AD FS

Nota

Sertifikat AD FS TLS/SSL tidak sama dengan sertifikat komunikasi Layanan AD FS yang ditemukan di snap-in Manajemen AD FS. Untuk mengubah sertifikat AD FS TLS/SSL, Anda perlu menggunakan PowerShell.

Pertama, tentukan apakah server layanan AD FS Anda menjalankan mode pengikatan autentikasi sertifikat default atau mode pengikatan TLS klien alternatif.

Ganti sertifikat TLS/SSL untuk AD FS yang berjalan dalam mode pengikatan autentikasi sertifikat default

Layanan Federasi Direktori Aktif (AD FS) secara default melakukan autentikasi sertifikat perangkat pada port 443 dan autentikasi sertifikat pengguna pada port 49443 (atau port lain yang dapat dikonfigurasi selain 443). Dalam mode ini, gunakan cmdlet Set-AdfsSslCertificate PowerShell untuk mengelola sertifikat TLS/SSL seperti yang ditunjukkan pada langkah-langkah berikut:

Pertama, Anda perlu mendapatkan sertifikat baru. Anda bisa mendapatkannya dengan mengirimkan permintaan penandatanganan sertifikat (CSR) ke pihak ketiga, penyedia sertifikat publik. Ada berbagai cara untuk menghasilkan CSR, termasuk dari komputer Windows 7 atau yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk proses ini.
- Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Application Proxy SSL
Setelah Anda mendapatkan respons dari penyedia sertifikat, impor ke penyimpanan lokal mesin di setiap AD FS dan WAP.
Pada server AD FS utama, gunakan cmdlet berikut untuk menginstal sertifikat TLS/SSL baru:

Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'

Thumbprint sertifikat bisa ditemukan dengan menjalankan perintah ini:

dir Cert:\LocalMachine\My\

Ganti sertifikat TLS/SSL untuk AD FS yang berjalan dalam mode TLS pengikatan alternatif

Saat dikonfigurasi dalam mode pengikatan TLS klien alternatif, AD FS melakukan autentikasi sertifikat perangkat pada port 443. Ini juga melakukan autentikasi sertifikat pengguna pada port 443, pada nama host yang berbeda. Nama host sertifikat pengguna adalah nama host AD FS dengan tambahan di depan certauth, misalnya certauth.fs.contoso.com. Dalam mode ini, gunakan cmdlet Set-AdfsAlternateTlsClientBinding PowerShell untuk mengelola sertifikat TLS/SSL. Cmdlet ini mengelola tidak hanya pengikatan TLS klien alternatif, tetapi juga semua pengikatan lainnya di mana AD FS menetapkan sertifikat TLS/SSL.

Gunakan langkah-langkah berikut untuk mengganti sertifikat TLS/SSL Anda untuk AD FS (Layanan Federasi Direktori Aktif) yang berjalan dalam mode pengikatan TLS alternatif.

Pertama, Anda perlu mendapatkan sertifikat baru. Anda bisa mendapatkannya dengan mengirimkan permintaan penandatanganan sertifikat (CSR) ke pihak ketiga, penyedia sertifikat publik. Ada berbagai cara untuk menghasilkan CSR, termasuk dari komputer Windows 7 atau yang lebih tinggi. Vendor Anda harus memiliki dokumentasi untuk proses ini.
- Pastikan sertifikat memenuhi persyaratan sertifikat AD FS dan Web Application Proxy TLS/SSL.
Setelah Anda mendapatkan respons dari penyedia sertifikat, impor ke penyimpanan lokal mesin di setiap AD FS dan WAP.
Pada server AD FS utama, gunakan cmdlet berikut untuk menginstal sertifikat TLS/SSL baru:

Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'

Thumbprint sertifikat bisa ditemukan dengan menjalankan perintah ini:

dir Cert:\LocalMachine\My\

Pertimbangan lain untuk sertifikat TLS/SSL dalam pengikatan autentikasi sertifikat default dan mode pengikatan TLS alternatif

Set-AdfsSslCertificate cmdlet dan Set-AdfsAlternateTlsClientBinding adalah cmdlet multi-simpul, sehingga mereka hanya perlu berjalan dari yang utama. Cmdlet juga memperbarui semua node di pertanian. Perubahan ini baru di Server 2016. Pada Server 2012 R2, Anda harus menjalankan cmdlet di setiap server.
Set-AdfsSslCertificate cmdlet dan Set-AdfsAlternateTlsClientBinding harus berjalan hanya di server utama. Server utama harus menjalankan Server 2016, dan Anda harus meningkatkan tingkat perilaku farm ke 2016.
Cmdlet Set-AdfsSslCertificate dan Set-AdfsAlternateTlsClientBinding menggunakan PowerShell Remoting untuk mengonfigurasi server AD FS lainnya; pastikan port 5985 (TCP) terbuka pada simpul lain.
Set-AdfsSslCertificate cmdlet dan Set-AdfsAlternateTlsClientBinding memberikan izin baca utama adfssrv ke kunci privat sertifikat TLS/SSL. Prinsipal ini merepresentasikan layanan AD FS. Tidak perlu memberikan akun layanan AD FS akses baca ke kunci privat dari sertifikat TLS/SSL.

Ganti sertifikat TLS/SSL untuk Proksi Aplikasi Web

Jika Anda ingin mengonfigurasi keduanya, pengikatan autentikasi sertifikat default atau mode pengikatan TLS klien alternatif pada WAP, Anda dapat menggunakan Set-WebApplicationProxySslCertificate cmdlet. Untuk mengganti sertifikat WAP TLS/SSL di setiap server WAP, gunakan cmdlet berikut untuk menginstal sertifikat TLS/SSL baru:

Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'

Jika cmdlet di atas gagal karena sertifikat lama telah kedaluwarsa, konfigurasi ulang proksi dengan menggunakan cmdlet berikut:

$cred = Get-Credential

Masukkan kredensial pengguna domain yang merupakan administrator lokal di server Active Directory Federation Services (AD FS)

Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'

Dukungan AD FS untuk pengikatan nama host alternatif untuk autentikasi sertifikat
AD FS dan Informasi Properti Sertifikat KeySpec