Compartilhar via

Como alterar o certificado de comunicação de serviço do AD FS 2.0 depois que ele expirar

Este artigo fornece as etapas para alterar o certificado de comunicação de serviço dos Serviços de Federação do Active Directory 2.0.

Aplica-se a: Windows Server 2008 R2 Service Pack 1
Número original do KB: 2921805

Sintomas

Um usuário deseja saber como alterar o certificado de comunicação de serviço dos Serviços de Federação do Active Directory (AD FS) 2.0 depois que ele expirar ou por outros motivos.

Solução

A substituição de um certificado de serviço de servidor do AD FS 2.0 existente é um processo de várias etapas.

Etapa 1

Instale o novo certificado no repositório de certificados do computador local. Para fazer isso, siga estas etapas:

  1. Selecione Iniciar, e depois selecione Executar.
  2. Digite MMC.
  3. No menu Arquivo, selecione Adicionar/Remover Snap-in.
  4. Na lista Snap-ins disponíveis, selecione Certificados, e depois selecione Adicionar. O Assistente de Snap-in de Certificados é iniciado.
  5. Selecione Conta do computador e Avançar.
  6. Selecione Computador local: (o computador em que este console está sendo executado) e, em seguida, selecione Concluir.
  7. Selecione OK.
  8. Expandir Raiz de Console\Certificados (Computador Local)\Pessoal\Certificados.
  9. Clique com o botão direito do mouse em Certificados, selecione Todas as Tarefas, e depois selecione Importar.

Etapa 2

Adicione à conta de serviço do AD FS as permissões para acessar a chave privada do novo certificado. Para fazer isso, siga estas etapas:

  1. Com o repositório de certificados do computador local ainda aberto, selecione o certificado que foi importado.

  2. Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas, e depois selecione Gerenciar Chaves Privadas.

  3. Adicione a conta que está executando o serviço ADFS e, em seguida, conceda à conta pelo menos permissões de leitura.

    Observação

    Se você não tiver a opção de gerenciar chaves privadas, talvez seja necessário executar o seguinte comando:

    certutil -repairstore my *

Etapa 3

Associe o novo certificado ao site do AD FS usando o Gerenciador do IIS. Para fazer isso, siga estas etapas:

  1. Abra o snap-in Gerente de Serviços de Informações da Internet (IIS) .
  2. Navegue até o Site Web Padrão.
  3. Clique com o botão direito em Site Web Padrão, e depois selecione Editar Associações.
  4. Selecione HTTPS, e depois selecione Editar.
  5. Selecione o certificado correto sob o título Certificado SSL.
  6. Selecione OK e, em seguida, selecione Fechar.

Etapa 4

Configure o serviço do servidor do AD FS para usar o novo certificado. Para fazer isso, siga estas etapas:

  1. Abra Gerenciamento do AD FS 2.0.

  2. Navegue até AD FS 2.0\Service\Certificates.

  3. Clique com o botão direito do mouse em Certificados e selecione Definir Certificado de Comunicações de Serviço.

  4. Selecione o novo certificado na interface do usuário da seleção de certificado.

  5. Selecione OK.

    Observação

    É possível que veja uma caixa de diálogo com a seguinte mensagem:
    O comprimento da chave do certificado é inferior a 2048 bits. Certificados com tamanhos de chave inferiores a 2048 bits podem apresentar um risco de segurança e não são recomendados. Deseja continuar?

    Após ler a mensagem, selecione Sim. Outra caixa de diálogo aparece. Ela contém as seguintes mensagens:

    Verifique se a chave privada do certificado escolhido está acessível à conta de serviço desse Serviço de Federação em cada servidor do farm.

    Já foi feito na etapa 2. Selecione OK.

Ainda precisa de ajuda? Acesse a Comunidade do Office 365.