Gestire i certificati TLS/SSL in AD FS e WAP in Windows Server 2016
Questo articolo descrive come distribuire un nuovo certificato TLS/SSL nei server Active Directory Federation Services (AD FS) e Proxy applicazione Web (WAP).
Nota
Il modo consigliato per sostituire il certificato TLS/SSL in futuro per una farm AD FS consiste nell'usare Microsoft Entra Connect. Per altre informazioni, vedere Aggiornare il certificato TLS/SSL per una farm di Active Directory Federation Services (AD FS).
Ottenere i certificati TLS/SSL
Per le farm AD FS di produzione, è consigliabile un certificato TLS/SSL attendibile pubblicamente. AD FS ottiene questo certificato inviando una richiesta di firma del certificato (CSR) a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare il CSR (richiesta di firma del certificato), incluso da un PC con Windows 7 o versione successiva. Il fornitore deve avere la documentazione per questo processo.
- Assicurarsi che il certificato soddisfi i requisiti di certificato TLS/SSL per AD FS e Proxy dell'applicazione Web.
Certificati necessari
È consigliabile usare un certificato TLS/SSL comune in tutti i server AD FS e WAP. Per i requisiti dettagliati, vedere requisiti dei certificati TLS/SSL per AD FS e Proxy Applicazione Web.
Requisiti del certificato TLS/SSL
Per i requisiti, inclusi i requisiti di denominazione radice di attendibilità ed estensioni, vedere AD FS e i requisiti del certificato TLS/SSL del proxy applicazione Web.
Sostituire il certificato TLS/SSL per AD FS
Nota
Il certificato TLS/SSL di AD FS non corrisponde al certificato di comunicazione del servizio AD FS disponibile nello snap-in Gestione AD FS. Per modificare il certificato TLS/SSL di AD FS, è necessario usare PowerShell.
Prima di tutto, determinare se i server AD FS eseguono la modalità di associazione di autenticazione del certificato predefinita o la modalità di associazione TLS client alternativa.
Sostituire il certificato TLS/SSL per AD FS in esecuzione in modalità di associazione di autenticazione del certificato predefinita
AD FS per impostazione predefinita esegue l'autenticazione del certificato del dispositivo sulla porta 443 e l'autenticazione del certificato utente sulla porta 49443 (o una porta configurabile che non è 443).
In questa modalità usare il cmdlet di PowerShell Set-AdfsSslCertificate per gestire il certificato TLS/SSL, come illustrato nei passaggi seguenti:
Prima di tutto, è necessario ottenere il nuovo certificato. È possibile ottenerlo inviando una richiesta di firma del certificato (CSR) a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare un CSR, incluso l'utilizzo di un computer con Windows 7 o versione successiva. Il fornitore deve avere la documentazione per questo processo.
- Assicurarsi che il certificato soddisfi i requisiti di certificato SSL di AD FS e Proxy applicazione Web
Dopo aver ottenuto la risposta dal provider di certificati, importarla nell'archivio del computer locale in ogni AD FS e WAP.
Nel server primario AD FS usare il cmdlet seguente per installare il nuovo certificato TLS/SSL:
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
L'impronta digitale del certificato si può trovare eseguendo questo comando:
dir Cert:\LocalMachine\My\
Sostituire il certificato TLS/SSL per AD FS in esecuzione in modalità di associazione TLS alternativa
Se configurata in modalità di associazione TLS client alternativa, AD FS esegue l'autenticazione del certificato del dispositivo sulla porta 443. Esegue anche l'autenticazione del certificato utente sulla porta 443, in un nome host diverso. Il nome host del certificato utente è il nome host di AD FS aggiunto con certauth, ad esempio certauth.fs.contoso.com.
In questa modalità usare il cmdlet di PowerShell Set-AdfsAlternateTlsClientBinding per gestire il certificato TLS/SSL. Questo cmdlet gestisce non solo l'associazione TLS client alternativa, ma anche tutte le altre associazioni in cui AD FS imposta anche il certificato TLS/SSL.
Usare la procedura seguente per sostituire il certificato TLS/SSL per AD FS in esecuzione in modalità di associazione TLS alternativa.
Prima di tutto, è necessario ottenere il nuovo certificato. È possibile ottenerlo inviando una richiesta di firma del certificato (CSR) a un provider di certificati pubblico di terze parti. Esistono diversi modi per generare la richiesta di firma del certificato (CSR), tra cui da un computer Windows 7 o versione successiva. Il fornitore deve avere la documentazione per questo processo.
- Assicurarsi che il certificato soddisfi i requisiti del certificato TLS/SSL di AD FS e del Proxy di applicazione Web.
Dopo aver ottenuto la risposta dal provider di certificati, importarla nell'archivio del computer locale in ogni AD FS e WAP.
Nel server primario AD FS usare il cmdlet seguente per installare il nuovo certificato TLS/SSL:
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
L'impronta digitale del certificato può essere trovata eseguendo questo comando:
dir Cert:\LocalMachine\My\
Altre considerazioni per i certificati TLS/SSL nell'associazione di autenticazione del certificato predefinita e nella modalità di associazione TLS alternativa
- I cmdlet
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingsono cmdlet multinodo, quindi devono essere eseguiti solo dal nodo primario. I cmdlet aggiornano anche tutti i nodi della farm. Questa modifica è nuova in Server 2016. In Server 2012 R2 è stato necessario eseguire il cmdlet in ogni server. - I cmdlet
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingdevono essere eseguiti solo nel server primario. Il server primario deve eseguire Server 2016 ed è necessario aumentare il livello di comportamento della farm a 2016. - I cmdlet
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingusano la comunicazione remota di PowerShell per configurare gli altri server AD FS, assicurarsi che la porta 5985 (TCP) sia aperta negli altri nodi. - I cmdlet
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingconcedono all'entità adfssrv le autorizzazioni di lettura sulle chiavi private del certificato TLS/SSL. Questo principale rappresenta il servizio AD FS. Non è necessario concedere all'account del servizio AD FS l'accesso in lettura alle chiavi private del certificato TLS/SSL.
Sostituire il certificato TLS/SSL per il proxy applicazione Web
Se si desidera configurare entrambi, l'associazione di autenticazione del certificato predefinita o la modalità di associazione TLS client alternativa nel WAP, è possibile usare il cmdlet Set-WebApplicationProxySslCertificate.
Per sostituire il certificato TLS/SSL WAP in ogni server WAP, usare il cmdlet seguente per installare il nuovo certificato TLS/SSL:
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
Se il cmdlet precedente ha esito negativo perché il certificato precedente è già scaduto, riconfigurare il proxy usando i cmdlet seguenti:
$cred = Get-Credential
Immettere le credenziali di un utente di dominio amministratore locale nel server AD FS
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'