Aggiornare il certificato TLS/SSL per una farm di Active Directory Federation Services (AD FS)

Panoramica

Questo articolo descrive come usare Microsoft Entra Connect per aggiornare il certificato TLS/SSL per una farm di Active Directory Federation Services (AD FS). È possibile usare lo strumento Microsoft Entra Connect per aggiornare facilmente il certificato TLS/SSL per la farm AD FS anche se il metodo di accesso utente selezionato non è AD FS.

È possibile eseguire l'intera operazione di aggiornamento del certificato TLS/SSL per la farm AD FS in tutti i server di federazione e proxy applicazione Web (WAP) in tre semplici passaggi:

Nota

Per altre informazioni sui certificati usati da AD FS, vedere Informazioni sui certificati usati da AD FS.

Prerequisiti

• AD FS farm: assicurati che la tua farm AD FS sia basata su Windows Server 2012 R2 o successivo.
• Microsoft Entra Connect: assicurarsi che la versione di Microsoft Entra Connect sia 1.1.553.0 o successiva. Userai l'attività per aggiornare il certificato SSL di AD FS.

Passaggio 1: Specificare le informazioni della farm AD FS

Microsoft Entra Connect tenta di ottenere automaticamente informazioni sulla farm AD FS:

1. Esecuzione di query sulle informazioni della farm da AD FS (Windows Server 2016 o versione successiva).
2. Riferimento alle informazioni delle esecuzioni precedenti, archiviate localmente con Microsoft Entra Connect.

È possibile modificare l'elenco dei server visualizzati aggiungendo o rimuovendo i server in modo da riflettere la configurazione corrente della farm AD FS. Non appena vengono fornite le informazioni sul server, Microsoft Entra Connect visualizza la connettività e lo stato corrente del certificato TLS/SSL.

Se l'elenco contiene un server che non fa più parte della farm AD FS, fare clic su Rimuovi per eliminare il server dall'elenco dei server nella farm AD FS.

Nota

La rimozione di un server dall'elenco di server per una farm AD FS in Microsoft Entra Connect è un'operazione locale e aggiorna le informazioni per la farm AD FS gestita localmente da Microsoft Entra Connect. Microsoft Entra Connect non modifica la configurazione in AD FS per riflettere la modifica.

Passaggio 2: Specificare un nuovo certificato TLS/SSL

Dopo aver confermato le informazioni sui server farm AD FS, Microsoft Entra Connect richiede il nuovo certificato TLS/SSL. Specificare un certificato PFX protetto da password per continuare l'installazione.

Dopo aver fornito il certificato, Microsoft Entra Connect passa attraverso una serie di prerequisiti. Verificare il certificato per assicurarsi che il certificato sia corretto per la farm di server AD FS:

• Il nome soggetto/nome soggetto alternativo per il certificato è uguale al nome del servizio federativo o è un certificato wildcard.
• Il certificato è valido per più di 30 giorni.
• La catena di attendibilità del certificato è valida.
• Il certificato è protetto da password.

Passaggio 3: Selezionare i server per l'aggiornamento

Nel passaggio successivo selezionare i server che devono avere aggiornato il certificato TLS/SSL. Non è possibile selezionare i server offline per l'aggiornamento.

Dopo aver completato la configurazione, Microsoft Entra Connect visualizza il messaggio che indica lo stato dell'aggiornamento e fornisce un'opzione per verificare l'accesso ad AD FS.

Domande frequenti

• Quale deve essere il nome soggetto del certificato per il nuovo certificato TLS/SSL di AD FS?

  Microsoft Entra Connect verifica se il nome soggetto o il nome soggetto alternativo del certificato contiene il nome del servizio federativo. Ad esempio, se il nome del servizio federativo è fs.contoso.com, il nome del soggetto o il nome alternativo del soggetto devono essere fs.contoso.com. Vengono accettati anche i certificati con caratteri jolly.

• Perché vengono richieste di nuovo le credenziali nella pagina del server WAP?

  Se le credenziali specificate per la connessione ai server AD FS non hanno anche il privilegio di gestire i server WAP, Microsoft Entra Connect chiede le credenziali con privilegi amministrativi nei server WAP.

• Il server viene visualizzato come offline. Cosa dovrei fare?

  Microsoft Entra Connect non può eseguire alcuna operazione se il server è offline. Se il server fa parte della farm AD FS, verificare la connettività al server. Dopo aver risolto il problema, premere l'icona di aggiornamento per aggiornare lo stato nella procedura guidata. Se il server faceva parte della farm in precedenza ma non esiste più, fare clic su Rimuovi per eliminarlo dall'elenco di server gestiti da Microsoft Entra Connect. La rimozione del server dall'elenco in Microsoft Entra Connect non modifica la configurazione di AD FS stessa. Se si usa AD FS in Windows Server 2016 o versione successiva, il server rimane nelle impostazioni di configurazione e verrà visualizzato di nuovo alla successiva esecuzione dell'attività.

• è possibile aggiornare un subset dei server farm con il nuovo certificato TLS/SSL?

  Sì. È sempre possibile eseguire l'attività aggiornare di nuovo il certificato SSL per aggiornare i server rimanenti. Nella pagina Selezionare i server per l'aggiornamento dei certificati SSL è possibile ordinare l'elenco dei server in data di scadenza SSL per accedere facilmente ai server non ancora aggiornati.

• Il server è stato rimosso nell'esecuzione precedente, ma viene ancora visualizzato come offline ed elencato nella pagina Server AD FS. Perché il server offline è ancora presente anche dopo averlo rimosso?

  La rimozione del server dall'elenco in Microsoft Entra Connect non la rimuove nella configurazione di AD FS. Microsoft Entra Connect fa riferimento ad AD FS (Windows Server 2016 o versione successiva) per eventuali informazioni sulla farm. Se il server è ancora presente nella configurazione di AD FS, verrà elencato di nuovo nell'elenco.

Passaggi successivi

• Microsoft Entra Connect e federazione
• gestione e personalizzazione di Active Directory Federation Services con Microsoft Entra Connect