Renovar el certificado de federación
En este tema, se explica cómo actualizar el certificado autofirmado de federación que se utiliza en una confianza de federación:
Si el certificado de la federación no ha expirado, siga los pasos de la sección Actualizar un certificado de federación operativo.
Si el certificado de la federación ya ha expirado, siga los pasos de la sección Reemplazar un certificado de federación expirado.
Nota:
Por diseño, después de renovar el certificado, el certificado expirado asociado a la confianza de federación no se puede quitar del objeto de confianza de federación.
Para obtener más información acerca de las confianzas de federación y la federación, consulte Federación.
¿Qué necesita saber antes de empezar?
Tiempo estimado para finalizar: 10 minutos.
Deberá tener asignados permisos antes de poder llevar a cabo este procedimiento o procedimientos. Para ver qué permisos necesita, consulte el la entrada "Federación y certificados" en el tema Permisos de infraestructura de la Shell y de Exchange.
En los procedimientos de este tema, se usa: Shell de administración de Exchange. Para obtener información sobre cómo abrir el Shell de administración de Exchange en su organización local Exchange, vea Open the Shell.
Para ver si ha expirado el certificado de federación existente, ejecute el siguiente comando en el Shell de administración de Exchange:
Get-ExchangeCertificate -Thumbprint (Get-FederationTrust).OrgCertificate.Thumbprint | Format-Table -Auto Thumbprint,NotAfter
Para obtener información acerca de los métodos abreviados de teclado aplicables a los procedimientos de este tema, consulte Métodos abreviados de teclado en el Centro de administración de Exchange.
Advertencia
¿Problemas? Solicite ayuda en los foros de Exchange. Visite los foros en Exchange Server.
Actualizar un certificado de federación operativo
Si el certificado de federación no ha expirado, puede actualizar la confianza de federación existente con un nuevo certificado de federación.
Paso 1: Crear un nuevo certificado de federación
Ejecute el comando siguiente en el Shell de administración de Exchange para crear un nuevo certificado de federación:
$SKI = [System.Guid]::NewGuid().ToString("N"); New-ExchangeCertificate -DomainName 'Federation' -FriendlyName "Exchange Delegation Federation" -Services Federation -SubjectKeyIdentifier $SKI -PrivateKeyExportable $true
Para obtener información detallada acerca de la sintaxis y los parámetros, consulte New-ExchangeCertificate.
El resultado que proporciona el comando contiene el valor de huella digital del nuevo certificado. Necesitará este valor en los pasos restantes; puede copiarlo directamente desde la ventana del Shell de administración de Exchange:
Haga clic con el botón derecho en cualquier parte de la ventana del Shell de administración de Exchange y seleccione Marcar en el cuadro que aparece.
Seleccione el valor de huella digital y, a continuación, presione ENTRAR.
Para los demás procedimientos de este tema, usaremos el valor de huella digital del certificado de federación: 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73
. El valor de huella digital de su certificado es diferente.
Paso 2: Configurar el nuevo certificado como certificado de federación
Para usar el Shell de administración de Exchange para configurar el nuevo certificado como certificado de federación, utilice la siguiente sintaxis:
Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint <Thumbprint> -RefreshMetaData
En este ejemplo se usa el valor 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73
de huella digital del certificado del paso 1.
Set-FederationTrust -Identity "Microsoft Federation Gateway" -Thumbprint 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73 -RefreshMetaData
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-FederationTrust.
Nota: La salida del comando contiene una advertencia que indica que debe actualizar el registro TXT de prueba de propiedad de dominio en DNS. Lo podrá hacer en el paso siguiente.
Paso 3: Actualizar el registro TXT de prueba de propiedad del dominio de federación en un DNS externo
Ahora ya puede realizar este paso de manera segura, ya que el registro TXT de prueba de propiedad del dominio solo se comprueba durante la activación (paso 5). Sin embargo, después de actualizar el registro TXT y antes de continuar con el paso siguiente, debe dejar tiempo para que se propague el registro TXT actualizado (en función del período de vida o el valor TTL del registro DNS).
Encontrará los valores necesarios para el registro TXT necesario ejecutando el siguiente comando en el Shell de administración de Exchange:
Get-FederatedDomainProof -DomainName <Domain> | Format-List Thumbprint,Proof
Por ejemplo, si su dominio federado es contoso.com, ejecute el comando siguiente:
Get-FederatedDomainProof -DomainName contoso.com | Format-List Thumbprint,Proof
El resultado del comando tiene este aspecto:
Thumbprint : <new certificate thumbprint> (for example, 6A99CED2E4F2B5BE96C5D17D662D217EF58B8F73) Proof : <new hash text> (for example, znMfbkgSbOQSsWFdsW+gm3to0nZSdE3zbcPPHGVAqdgsLFGsCPuLHiyVbKoPmgyZKX90NH2g1PbCZH0YTQF6oA==) Thumbprint : <old certificate thumbprint> (for example, CC9BC204BB4DC60D06FC1F10F3C373DC785DA2A5) Proof : <old hash text> (for example, m4gZX7OLr9iOWYJMVjEklQpoSkPb5hSbcFjD7Q3/vsqmdJ2Z+HcSt7j5pzBKFmEW2s27JYr3xsK2POzAI/8Ffw==)
Observe que el resultado del comando devuelve información para dos registros de pruebas de propiedad del dominio: uno para el nuevo certificado y otro para el certificado actual que va a reemplazar. Puede saber cuál es cuál por el valor de huella digital y por el valor de texto de hash que se ha configurado en el registro TXT de prueba de propiedad del dominio actual en su DNS externo (público).
Actualice el registro TXT de prueba de propiedad del dominio de federación en su DNS externo. Las instrucciones variarán en función de su proveedor de DNS, pero puede editar el registro TXT actual para reemplazar el valor de texto de hash actual con el nuevo. Para obtener más información, consulte la sección de Exchange Online Registros externos del Sistema de nombres de dominio para Office 365.
Paso 4: Comprobar la distribución del nuevo certificado de federación a todos los servidores de Exchange
Exchange distribuye automáticamente el nuevo certificado de federación a todos los servidores, pero tenemos que comprobar la distribución antes de continuar.
Para utilizar el Shell de administración de Exchange para comprobar la distribución del nuevo certificado de federación, ejecute el siguiente comando:
$Servers = Get-ExchangeServer; $Servers | foreach {Get-ExchangeCertificate -Server $_ | Where {$_.Services -match 'Federation'}} | Format-List Identity,Thumbprint,Services,Subject
Nota: En Exchange 2010, la salida del cmdlet Test-FederationCertificate contiene nombres de servidor. El resultado del cmdlet en Exchange 2013 o posterior no incluye nombres de servidor.
Paso 5: Activar el nuevo certificado de federación
Para utilizar el Shell de administración de Exchange para activar el nuevo certificado de federación, ejecute el siguiente comando:
Set-FederationTrust -Identity "Microsoft Federation Gateway" -PublishFederationCertificate
Para obtener información detallada sobre la sintaxis y los parámetros, consulte Set-FederationTrust.
Nota: La salida del comando contiene una advertencia de que necesita actualizar el registro TXT de prueba de propiedad de dominio en DNS (que ya hizo en el paso 3).
¿Cómo saber si el proceso se ha completado correctamente?
Para comprobar que ha actualizado correctamente la confianza de federación existente con un nuevo certificado de federación, siga estos pasos:
En el Shell de administración de Exchange, ejecute el siguiente comando para comprobar que se está utilizando el nuevo certificado:
Get-FederationTrust | Format-List *priv*
La propiedad OrgPrivCertificate debe contener la huella digital del nuevo certificado de federación.
La propiedad OrgPrevPrivCertificate debe contener la huella digital del (reemplazado) certificado de federación antiguo.
En el Shell de administración de Exchange, reemplace <la dirección> de correo electrónico del usuario por la dirección de correo electrónico de un usuario de su organización y ejecute el siguiente comando para comprobar que la confianza de federación funciona:
Test-FederationTrust -UserIdentity <user's email address>
Reemplazar un certificado de federación expirado
Si el certificado de federación ya ha expirado, debe quitar todos los dominios federados de la confianza de federación y, a continuación, quitar y volver a crear la confianza de federación.
Si tiene varios dominios federados, deberá identificar el dominio compartido del dominio principal para quitarlo en último lugar. Para utilizar el Shell de administración de Exchange para identificar el dominio compartido principal y todos los dominios federados, ejecute el siguiente comando:
Get-FederatedOrganizationIdentifier | Format-List AccountNamespace,Domains
El valor de la propiedad AccountNamespace contiene el dominio compartido principal con el formato
FYDIBOHF25SPDLT<primary shared domain>
. Por ejemplo, en el valorFYDIBOHF25SPDLT.contoso.com
, contoso.com es el dominio compartido principal.Quite todos los dominios federados que no sean el dominio compartido principal ejecutando el siguiente comando en el Shell de administración de Exchange:
Remove-FederatedDomain -DomainName <domain> -Force
Una vez que haya quitado el resto de dominios federados, quite el dominio compartido principal ejecutando el siguiente comando en el Shell de administración de Exchange:
Remove-FederatedDomain -DomainName <domain> -Force
Quite la confianza de federación ejecutando el siguiente comando en el Shell de administración de Exchange:
Remove-FederationTrust "Microsoft Federation Gateway"
Vuelva a crear la confianza de federación. Para obtener instrucciones, consulte Configuración de una confianza de federación.