Compartilhar via


vinculação de nome de host alternativo para autenticação de certificado no AD FS no Windows Server

Em várias redes, as políticas de firewall local podem não permitir o tráfego por portas não padrão, como 49443. As portas não padrão podem trazer problemas durante a autenticação de certificado com o AD FS no Windows Server para versões anteriores do Windows. Não é possível fazer vinculações diferentes para autenticação de dispositivo e autenticação de certificado de usuário no mesmo host.

Para versões do Windows anteriores ao Windows Server 2016, a porta padrão 443 deve receber certificados de dispositivo. Esta porta não pode ser alterada para dar suporte a várias vinculações no mesmo canal. A autenticação de cartão inteligente não funciona e não existe notificação aos usuários que explique a causa.

O AD FS no Windows Server dá suporte à associação de nome de host alternativo

O AD FS no Windows Server dá suporte para vinculação de nome de host alternativo de dois modos:

  • O primeiro modo usa o mesmo host (adfs.contoso.com) com portas diferentes (443, 49443).

  • O segundo modo usa outros hosts (adfs.contoso.com e certauth.adfs.contoso.com) com a mesma porta (443). Este modo requer um certificado TLS/SSL para dar suporte certauth.\<adfs-service-name> como um nome de assunto alternativo. A vinculação de nome de host alternativo pode ser configurada na criação do farm ou posteriormente com o PowerShell.

Como configurar a associação de nome do host alternativo para a autenticação de certificado

Há duas maneiras de adicionar a vinculação de nome do host alternativo para a autenticação de certificado:

  • A primeira abordagem é quando você configura outro farm do AD FS com o AD FS para Windows Server 2016. Se o certificado tiver um nome alternativo de entidade (SAN), o certificado será configurado automaticamente para usar o segundo modo descrito antes. Dois hosts diferentes (sts.contoso.com e certauth.sts.contoso.com) são automaticamente configurados com a mesma porta.

    Se o certificado não contiver uma SAN, uma mensagem de aviso indicará que os nomes alternativos da entidade do certificado não dão suporte a certauth.*:

    The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'.
    
    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
    

    Para uma instalação em que o certificado contém uma SAN, você vê somente a segunda parte da mensagem:

    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.
    
  • A segunda abordagem está disponível depois da implantação do AD FS no Windows Server. Você pode usar o cmdlet do PowerShell Set-AdfsAlternateTlsClientBinding para adicionar a vinculação de nome de host alternativo para autenticação de certificado. Para obter mais informações, confira Set-AdfsAlternateTlsClientBinding.

    Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'
    

No prompt de confirmar a configuração do certificado, selecione Sim ou Sim para todos.