Aggiornare il certificato TLS/SSL per una farm di Active Directory Federation Services (AD FS)
Panoramica
Questo articolo descrive come usare Microsoft Entra Connessione per aggiornare il certificato TLS/SSL per una farm di Active Directory Federation Services (AD FS). È possibile usare lo strumento Microsoft Entra Connessione per aggiornare facilmente il certificato TLS/SSL per la farm AD FS anche se il metodo di accesso utente selezionato non è AD FS.
È possibile eseguire l'intera operazione di aggiornamento del certificato TLS/SSL per la farm AD FS in tutti i server di federazione e proxy applicazione Web (WAP) in tre semplici passaggi:
Nota
Per altre informazioni sui certificati usati da AD FS, vedere Informazioni sui certificati utilizzati da AD FS.
Prerequisiti
- Farm AD FS: assicurarsi che la farm AD FS sia basata su Windows Server 2012 R2 o versioni successive.
- Microsoft Entra Connessione: assicurarsi che la versione di Microsoft Entra Connessione sia 1.1.553.0 o successiva. Si userà l'attività Aggiorna il certificato SSL di AD FS.
Passaggio 1: Specificare informazioni sulla farm AD FS
Microsoft Entra Connessione tenta di ottenere automaticamente informazioni sulla farm AD FS:
- Chiedendo informazioni sulla farm ad AD FS (Windows Server 2016 o versione successiva).
- Riferimento alle informazioni delle esecuzioni precedenti, archiviate localmente con Microsoft Entra Connessione.
L'elenco dei server visualizzati può essere modificato aggiungendo o rimuovendo i server in modo da riflettere la configurazione corrente della farm AD FS. Non appena vengono fornite le informazioni sul server, Microsoft Entra Connessione visualizza la connettività e lo stato corrente del certificato TLS/SSL.
Se l'elenco contiene un server che non fa più parte della farm AD FS, fare clic su Rimuovi per eliminare il server dall'elenco dei server della farm AD FS.
Nota
La rimozione di un server dall'elenco di server per una farm AD FS in Microsoft Entra Connessione è un'operazione locale e aggiorna le informazioni per la farm AD FS gestita da Microsoft Entra Connessione localmente. Microsoft Entra Connessione non modifica la configurazione in AD FS in modo da riflettere la modifica.
Passaggio 2: Specificare un nuovo certificato TLS/SSL
Dopo aver confermato le informazioni sui server farm AD FS, Microsoft Entra Connessione chiede il nuovo certificato TLS/SSL. Fornire un certificato PFX protetto da password per continuare l'installazione.
Dopo aver fornito il certificato, Microsoft Entra Connessione passa attraverso una serie di prerequisiti. per assicurarsi che il certificato sia corretto per la farm AD FS:
- Il nome soggetto o il nome soggetto alternativo del certificato deve corrispondere al nome del servizio federativo oppure il certificato deve contenere caratteri jolly.
- Il certificato deve essere valido per più di 30 giorni.
- La catena di certificati deve essere valida.
- Il certificato deve essere protetto da password.
Passaggio 3: Selezionare i server per l'aggiornamento
Nel passaggio successivo selezionare i server che devono avere aggiornato il certificato TLS/SSL. I server offline non possono essere selezionati per l'aggiornamento.
Dopo aver completato la configurazione, Microsoft Entra Connessione visualizza il messaggio che indica lo stato dell'aggiornamento e fornisce un'opzione per verificare l'accesso ad AD FS.
Domande frequenti
Quale deve essere il nome soggetto del certificato per il nuovo certificato TLS/SSL DI AD FS?
Microsoft Entra Connessione controlla se il nome soggetto o il nome soggetto alternativo del certificato contiene il nome del servizio federativo. Ad esempio, se il nome del servizio federativo è fs.contoso.com, il nome soggetto o il nome soggetto alternativo deve essere fs.contoso.com. Sono accettati anche certificati con caratteri jolly.
Perché vengono nuovamente richieste le credenziali nella pagina del server WAP?
Se le credenziali specificate per la connessione ai server AD FS non hanno anche il privilegio di gestire i server WAP, Microsoft Entra Connessione chiede le credenziali con privilegi amministrativi nei server WAP.
Il server appare offline Cosa devo fare?
Microsoft Entra Connessione non può eseguire alcuna operazione se il server è offline. Se il server fa parte della farm AD FS, controllare la connettività al server. Dopo avere risolto il problema, premere l'icona di aggiornamento per aggiornare lo stato nella procedura guidata. Se il server faceva parte della farm in precedenza ma non esiste più, fare clic su Rimuovi per eliminarlo dall'elenco dei server gestiti da Microsoft Entra Connessione. La rimozione del server dall'elenco in Microsoft Entra Connessione non modifica la configurazione di AD FS stessa. Se si usa AD FS in Windows Server 2016 o versioni successive, il server rimane nelle impostazioni di configurazione e verrà visualizzato nuovamente in occasione dell'esecuzione successiva dell'attività.
È possibile aggiornare un subset dei server farm con il nuovo certificato TLS/SSL?
Sì. In qualsiasi momento, è possibile eseguire nuovamente l'attività Aggiorna certificato SSL per aggiornare i server rimanenti. Nella pagina Selezionare i server per l'aggiornamento del certificato SSL è possibile ordinare l'elenco dei server in base a Data di scadenza SSL per accedere con facilità ai server non ancora aggiornati.
Un server che era stato rimosso durante l'esecuzione precedente è ancora visualizzato come offline ed elencato nella pagina dei server AD FS. Perché il server offline è ancora presente dopo essere stato rimosso?
La rimozione del server dall'elenco in Microsoft Entra Connessione non la rimuove nella configurazione di AD FS. Microsoft Entra Connessione fa riferimento ad AD FS (Windows Server 2016 o versione successiva) per qualsiasi informazione sulla farm. Se il server è ancora presente nella configurazione di AD FS, verrà nuovamente incluso nell'elenco.