Nota
O acesso a esta página requer autorização. Podes tentar iniciar sessão ou mudar de diretório.
O acesso a esta página requer autorização. Podes tentar mudar de diretório.
Visão geral
Este artigo descreve como utilizar o Microsoft Entra Connect para atualizar o certificado TLS/SSL de um grupo de servidores dos Serviços de Federação do Active Directory (AD FS). Você pode usar a ferramenta Microsoft Entra Connect para atualizar facilmente o certificado TLS/SSL para o farm do AD FS, mesmo que o método de entrada do usuário selecionado não seja o AD FS.
Você pode executar toda a operação de atualização do certificado TLS/SSL para o farm do AD FS em todos os servidores de federação e WAP (Web Application Proxy) em três etapas simples:
Observação
Para saber mais sobre certificados usados pelo AD FS, consulte Noções básicas sobre certificados usados pelo AD FS.
Pré-requisitos
- AD FS Farm: verifique se o AD FS Farm é baseado no Windows Server 2012 R2 ou posterior.
- Microsoft Entra Connect: Verifique se a versão do Microsoft Entra Connect é 1.1.553.0 ou superior. Você usará a tarefa Atualizar certificado AD FS SSL.
Etapa 1: Fornecer informações do grupo AD FS
O Microsoft Entra Connect tenta obter automaticamente informações sobre o grupo do AD FS.
- Consultando as informações do farm do AD FS (Windows Server 2016 ou posterior).
- Referenciando as informações de execuções anteriores, que são armazenadas localmente no Microsoft Entra Connect.
Você pode modificar a lista de servidores exibidos adicionando ou removendo os servidores para refletir a configuração atual do farm do AD FS. Assim que as informações do servidor são fornecidas, o Microsoft Entra Connect exibe a conectividade e o status atual do certificado TLS/SSL.
Se a lista contiver um servidor que não faz mais parte do farm do AD FS, clique em Remover para excluir o servidor da lista de servidores do farm do AD FS.
Observação
A remoção de um servidor da lista de servidores de um farm do AD FS no Microsoft Entra Connect é uma operação local e atualiza as informações do farm do AD FS que o Microsoft Entra Connect mantém localmente. O Microsoft Entra Connect não modifica a configuração no AD FS para refletir a alteração.
Etapa 2: Fornecer um novo certificado TLS/SSL
Depois de confirmar as informações sobre os servidores do farm AD FS, o Microsoft Entra Connect solicita o novo certificado TLS/SSL. Forneça um certificado PFX protegido por senha para continuar a instalação.
Depois de fornecer o certificado, o Microsoft Entra Connect passa por uma série de pré-requisitos. Verifique o certificado para garantir que esteja correto para a fazenda do AD FS.
- O nome da entidade/nome da entidade alternativa para o certificado é o mesmo que o nome do serviço de federação ou é um certificado curinga.
- O certificado é válido por mais de 30 dias.
- A cadeia de confiança do certificado é válida.
- O certificado é protegido por senha.
Etapa 3: Selecionar servidores para a atualização
Na próxima etapa, selecione os servidores que precisam ter o certificado TLS/SSL atualizado. Os servidores que estão offline não podem ser selecionados para a atualização.
Depois de concluir a configuração, o Microsoft Entra Connect exibe a mensagem que indica o status da atualização e fornece uma opção para verificar a entrada do AD FS.
Perguntas frequentes
Qual deve ser o nome do assunto do certificado para o novo certificado AD FS TLS/SSL?
O Microsoft Entra Connect verifica se o nome da entidade ou o nome alternativo da entidade do certificado contém o nome do serviço de federação. Por exemplo, se o nome do serviço de federação for fs.contoso.com, o nome de entidade/nome alternativo de entidade deverá ser fs.contoso.com. Certificados wildcard também são aceites.
Por que me pedem credenciais novamente na página do servidor WAP?
Se as credenciais fornecidas para se conectar aos servidores AD FS também não tiverem o privilégio de gerenciar os servidores WAP, o Microsoft Entra Connect solicitará credenciais com privilégio administrativo nos servidores WAP.
O servidor é mostrado como offline. O que devo fazer?
O Microsoft Entra Connect não pode executar nenhuma operação se o servidor estiver offline. Se o servidor fizer parte do grupo AD FS, verifique a ligação ao servidor. Depois de resolver o problema, pressione o ícone de atualização para atualizar o status no assistente. Se o servidor fazia parte do farm anteriormente, mas agora não existe mais, clique em Remover para excluí-lo da lista de servidores que o Microsoft Entra Connect mantém. Remover o servidor da lista no Microsoft Entra Connect não altera a configuração do AD FS em si. Se você estiver usando o AD FS no Windows Server 2016 ou posterior, o servidor permanecerá nas definições de configuração e será mostrado novamente na próxima vez que a tarefa for executada.
Posso atualizar um subconjunto dos servidores do meu farm com o novo certificado TLS/SSL?
Sim. Você sempre pode executar a tarefa Atualizar Certificado SSL novamente para atualizar os servidores restantes. Na página Selecionar servidores para atualização do certificado SSL, pode classificar a lista de servidores por data de expiração SSL para aceder facilmente aos servidores que ainda não foram atualizados.
Eu removi o servidor na execução anterior, mas ele ainda está sendo mostrado como offline e listado na página Servidores AD FS. Por que o servidor offline ainda está lá mesmo depois que eu o remova?
Remover o servidor da lista no Microsoft Entra Connect não o remove na configuração do AD FS. O Microsoft Entra Connect refere-se ao AD FS (Windows Server 2016 ou superior) para obter informações sobre a fazenda. Se o servidor ainda estiver presente na configuração do AD FS, ele será listado novamente na lista.