Gestire i certificati TLS/SSL in AD FS e WAP in Windows Server 2016
Questo articolo descrive come distribuire un nuovo certificato TLS/SSL nei server Active Directory Federation Services (AD FS) e Proxy applicazione Web (WAP).
Nota
Il metodo consigliato per sostituire il certificato TLS/SSL in corso per una farm AD FS consiste nell'usare Microsoft Entra Connect. Per altre informazioni, vedere Aggiornare il certificato TLS/SSL per una farm di Active Directory Federation Services (AD FS).
Ottenere i certificati TLS/SSL
Per le farm AD FS di produzione, è consigliabile un certificato TLS/SSL attendibile pubblicamente. AD FS ottiene questo certificato inviando una richiesta di firma del certificato (CSR) a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare la dichiarazione e report di certificazione, tra cui da un PC Windows 7 o versione successiva. Il fornitore deve avere la documentazione per questo processo.
- Assicurarsi che il certificato soddisfi i requisiti di certificato TLS/SSL AD FS e Proxy applicazione Web.
Certificati necessari
È consigliabile usare un certificato TLS/SSL comune in tutti i server AD FS e WAP. Per i requisiti dettagliati, vedere Requisiti dei certificati TLS/SSL di AD FS e Proxy applicazione Web.
Requisiti del certificato TLS/SSL
Per i requisiti, inclusa la radice di denominazione di attendibilità ed estensioni, vedere AD FS e i requisiti del certificato TLS/SSL del proxy applicazione Web.
Sostituire il certificato SSL/TSL per AD FS
Nota
Il certificato SSL/TSL di AD FS è diverso dal certificato di comunicazione del servizio AD FS disponibile nello snap-in Gestione AD FS. Per cambiare il certificato SSL/TLS di AD FS occorre usare PowerShell.
Prima di tutto, determinare se i server AD FS eseguono la modalità di associazione di autenticazione del certificato predefinita o la modalità di associazione TLS client alternativa.
Sostituire il certificato TLS/SSL per AD FS in esecuzione in modalità di associazione di autenticazione del certificato predefinita
AD FS per impostazione predefinita esegue l'autenticazione del certificato del dispositivo sulla porta 443 e l'autenticazione del certificato utente sulla porta 49443 (o una porta configurabile che non è 443).
In questa modalità, usare il cmdlet di PowerShell Set-AdfsSslCertificate per gestire il certificato TLS/SSL, come illustrato nei passaggi seguenti:
Innanzitutto, è necessario ottenere il nuovo certificato. È possibile ottenere questo certificato inviando una dichiarazione e report di certificazione a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare la dichiarazione e report di certificazione, tra cui da un PC Windows 7 o computer successivi. Il fornitore deve avere la documentazione per questo processo.
- Assicurarsi che il certificato soddisfi i Requisiti di certificato SSL AD FS e Proxy applicazione Web
Dopo aver ottenuto la risposta dal provider di certificati, importarla nell'archivio del computer locale in ogni AD FS e WAP.
Nel server primario AD FS usare il cmdlet seguente per installare il nuovo certificato TLS/SSL:
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
L'identificazione personale del certificato è disponibile eseguendo questo comando:
dir Cert:\LocalMachine\My\
Sostituire il certificato TLS/SSL per AD FS in esecuzione in modalità di associazione TLS alternativa
Se configurato in modalità di associazione TLS client alternativa, AD FS esegue l'autenticazione del certificato del dispositivo sulla porta 443. Esegue anche l'autenticazione del certificato utente sulla porta 443, in un nome host diverso. Il nome host del certificato utente è il nome host di AD FS anteposto a certauth, ad esempio certauth.fs.contoso.com.
In questa modalità, usare il cmdlet di PowerShell Set-AdfsAlternateTlsClientBinding per gestire il certificato TLS/SSL. Questo cmdlet gestisce non solo l'associazione TLS client alternativa, ma anche tutte le altre associazioni in cui AD FS imposta anche il certificato TLS/SSL.
Usare la procedura seguente per sostituire il certificato TLS/SSL per AD FS in esecuzione in modalità di associazione TLS alternativa.
Innanzitutto, è necessario ottenere il nuovo certificato. È possibile ottenere questo certificato inviando una dichiarazione e report di certificazione a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare la dichiarazione e report di certificazione, tra cui da un PC Windows 7 o computer successivi. Il fornitore deve avere la documentazione per questo processo.
- Assicurarsi che il certificato soddisfi i requisiti di certificato TLS/SSL AD FS e Proxy applicazione Web.
Dopo aver ottenuto la risposta dal provider di certificati, importarla nell'archivio del computer locale in ogni AD FS e WAP.
Nel server primario AD FS usare il cmdlet seguente per installare il nuovo certificato TLS/SSL:
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
L'identificazione personale del certificato è disponibile eseguendo questo comando:
dir Cert:\LocalMachine\My\
Altre considerazioni per i certificati TLS/SSL nell'associazione di autenticazione del certificato predefinita e nella modalità di associazione TLS alternativa
- I cmdlet
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingsono cmdlet multinodo, quindi devono essere eseguiti solo dal database primario. I cmdlet aggiornano anche tutti i nodi della farm. Questa è una nuova modifica in Server 2016. In Server 2012 R2, è stato necessario eseguire il cmdlet in ogni server. - I cmdlet
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingdevono essere eseguiti solo nel server primario. Il server primario deve eseguire Server 2016 ed è necessario aumentare il livello di comportamento della farm a 2016. - I cmdlet
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingusano la comunicazione remota di PowerShell per configurare gli altri server AD FS, assicurarsi che la porta 5985 (TCP) sia aperta negli altri nodi. - I cmdlet
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingconcedono le autorizzazioni di lettura dell'entità adfssrv alle chiavi private del certificato TLS/SSL. Questa entità di sicurezza rappresenta il servizio AD FS. Non è necessario concedere all'account del servizio AD FS l'accesso in lettura alle chiavi private del certificato TLS/SSL.
Sostituire il certificato TLS/SSL per il Proxy applicazione Web
Se si desidera configurare entrambi, l'associazione di autenticazione del certificato predefinita o la modalità di associazione TLS client alternativa nel WAP, è possibile usare il cmdlet Set-WebApplicationProxySslCertificate.
Per sostituire il certificato TLS/SSL WAP in ogni server WAP, usare il cmdlet seguente per installare il nuovo certificato TLS/SSL:
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
Se il cmdlet precedente ha esito negativo perché il certificato precedente è già scaduto, riconfigurare il proxy usando i cmdlet seguenti:
$cred = Get-Credential
Immettere le credenziali di un utente di dominio amministratore locale nel server AD FS
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'