Alterando certificado no AD Federation Services e Web Application Proxy
1. Objetivo
Este artigo tem por objetivo mostrar como alterar o certificado usado pelo Active Directory Federation Services 3.0 e também no Web Application Proxy - caso este exista no ambiente.
2. Cenário
Vamos imaginar um ambiente com um servidor de aplicação, um servidor com o Active Directory Federation Services 3.0 (fazen do pré-autenticação e sendo usado como base de dados para WAP) e um servidor Web Application Proxy fazendo o proxy reverso de aplicações WEB.
O certificado usado na instalação do AD Federations Services está prestes a vencer e não deverá haver indisponibilidade no acesso.
3. Alterando certificado no Active Directory Federation Services
O administrador deverá copiar o certificado e instalar o mesmo no servidor.
Para proceder a atualização do certificado no AD Federation Services, use os seguintes comandos Power Shell abaixo:
Para coletar informações acerca do novo certificado:
Get-ChildItem -Path cert:\LocalMachine\my | FL FriendlyName, Thumbprint, Subject, NotBefore, NotAfter
Com esta linha de comando, você verá os certificados instalados na máquina com informações de "Friendly Name", o numero do Thumbprint, Subject e as datas de inicio e fim da validade do certificado.
Nesta informações o administrador irá visualizar os dados do novo certificado instalado. Copie o número do Thumprint e faça a substituição do certificado com o comando abaixo:
Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint thumbprint#
O comando acima alterou o certificado do Service-Communications do AD Federation Services. Agora o administrador precisa executar o comando Power Shell Abaixo para alterar o certificado para todo o AD FS:
Set-AdfsSslCertificate -Thumbprint thumbprint#
Em seguida reinicie o serviço do AD Federation Services com o comando - Restart-Service adfssrv
Para verificar se o seu servidor AD Federation Services está operando com o novo certificado, use os comandos power shell abaixo:
Get-AdfsCertificate
**
Get-AdfsSslCertificate**
A imagem abaixo mostra o procedimento na prática:
4. Alterando o certificado no servidor do Web Application Proxy
Como destacado no item 2 deste artigo, o cenário diz que, além do servidor do AD Federation Services, temos um outro fazendo o proxy reverso com o Web Application Proxy. Como o WAP usa o AD FS como pre-autenticação e base de dados, é imprescindível com o certificado do AD FS esteja corretamente instalado no WAP.
Devido a mudança executada no item 3 deste artigo, o WAP passará a não mais enxergar as publicações criadas, pois, não terá mais comunicação com o AD FS.
Para que essa comunicação seja restabelecida, é necessário exportar o novo certificado do servidor AD Federation Services para o servidor do Web Application Proxy. Em seguida o administrador deve utilizar o seguinte comando Power Shell:
Set-WebApplicationProxySslCertificate -Thumbprint thumbprint#
Após aplicação deste comando, efetue um restart no serviço do Web Application Proxy - Restart-Service adfssrv
A figura abaixo mostra na prática como irá funcionar:
5. Porque não usar a interface gráfica
O processo de alteração do certificado no AD Federation Services deve ser feito exclusivamente pelo Power Shell. O mesmo pode até ser feito pela interface gráfica do produto, entretanto as informações não são validadas porque não ocorre a alteração das mesmas no arquivo http.sys (arquivo responsável por armazenas os dados de certificado).
Portanto é requerido o uso do Power Shell para este tipo de trabalho.
A verão, 2016 do Windows deve ter esse problema resolvido e fazer as alterações totais via Interface gráfico.
6. Conclusão
Este artigo mostrou o procedimento para alterar o certificado vencido ou prestes a vencer, no Windows Server 2012 R2 que tem instalados e Active Directory Federation Serives 3.0 e no Web Application Proxy.