Поделиться через

Управление СЕРТИФИКАТами TLS/SSL в AD FS и WAP в Windows Server 2016

В этой статье описывается, как развернуть новый TLS/SSL-сертификат на серверах службы федерации Active Directory (AD FS) (AD FS) и прокси веб-приложения (WAP).

Примечание.

Рекомендуемый способ заменить TLS/SSL-сертификат для фермы AD FS — использовать microsoft Entra Подключение. Дополнительные сведения см. в статье об обновлении TLS/SSL-сертификата для фермы службы федерации Active Directory (AD FS) (AD FS).

Получение СЕРТИФИКАТов TLS/SSL

Для производственных ферм AD FS рекомендуется общедоступный доверенный TLS/SSL-сертификат. AD FS получает этот сертификат, отправив запрос на подпись сертификата (CSR) стороннему поставщику общедоступных сертификатов. Существует несколько способов создания CSR, включая компьютер с Windows 7 или более поздней версии. У поставщика должна быть документация по этому процессу.

  • Убедитесь, что сертификат соответствует требованиям к ПРОТОКОЛу TLS/SSL-сертификата AD FS и прокси-приложению.

Необходимые сертификаты

Для всех серверов AD FS и WAP следует использовать общий TLS/SSL-сертификат. Подробные требования см. в разделе AD FS и требования к SSL-сертификату прокси-сервера веб-приложения.

Требования к TLS- и SSL-сертификатам

Требования, включая именование корневого каталога доверия и расширений, см. в статье AD FS и требования к SSL-сертификату прокси-сервера веб-приложений.

Замена TLS/SSL-сертификата для AD FS

Примечание.

Сертификат TLS/SSL AD FS не совпадает с сертификатом связи службы AD FS, найденным в оснастке управления AD FS. Чтобы изменить TLS/SSL-сертификат AD FS, необходимо использовать PowerShell.

Во-первых, определите, выполняются ли серверы AD FS режим привязки сертификата по умолчанию или альтернативный режим привязки TLS клиента.

Замена TLS/SSL-сертификата для AD FS, запущенного в режиме привязки сертификата по умолчанию

AD FS по умолчанию выполняет проверку подлинности сертификата устройства через порт 443 и проверку подлинности сертификата пользователя через порт 49443 (или настраиваемый порт, который не является 443). В этом режиме используйте командлет Set-AdfsSslCertificate PowerShell для управления TLS/SSL-сертификатом, как показано на следующих шагах:

  1. Сначала необходимо получить новый сертификат. Его можно получить, отправив запрос на подпись сертификата (CSR) стороннему поставщику общедоступных сертификатов. Существует различные способы создания CSR, включая компьютер с Windows 7 или более поздней версии. У поставщика должна быть документация по этому процессу.

  2. После получения ответа от поставщика сертификатов импортируйте его в локальное хранилище компьютеров в каждом AD FS и WAP.

  3. На основном сервере AD FS используйте следующий командлет, чтобы установить новый TLS/SSL-сертификат:

Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'

Чтобы найти отпечаток сертификата, выполните следующую команду:

dir Cert:\LocalMachine\My\

Замена TLS/SSL-сертификата для AD FS, работающего в альтернативном режиме привязки TLS

При настройке в альтернативном режиме привязки TLS клиента AD FS выполняет проверку подлинности сертификата устройства через порт 443. Он также выполняет проверку подлинности сертификата пользователя через порт 443 в другом имени узла. Имя узла сертификата пользователя — это имя узла AD FS, предопределенное certauth, например certauth.fs.contoso.com. В этом режиме используйте командлет Set-AdfsAlternateTlsClientBinding PowerShell для управления TLS/SSL-сертификатом. Этот командлет управляет не только альтернативной привязкой TLS клиента, но и всеми другими привязками, в которых AD FS задает tls/SSL-сертификат.

Чтобы заменить TLS/SSL-сертификат для AD FS, работающий в альтернативном режиме привязки TLS, выполните следующие действия.

  1. Сначала необходимо получить новый сертификат. Его можно получить, отправив запрос на подпись сертификата (CSR) стороннему поставщику общедоступных сертификатов. Существует различные способы создания CSR, включая компьютер с Windows 7 или более поздней версии. У поставщика должна быть документация по этому процессу.

    • Убедитесь, что сертификат соответствует требованиям к ПРОТОКОЛу TLS/SSL-сертификата AD FS и прокси-приложению.

  2. После получения ответа от поставщика сертификатов импортируйте его в локальное хранилище компьютеров в каждом AD FS и WAP.

  3. На основном сервере AD FS используйте следующий командлет, чтобы установить новый TLS/SSL-сертификат:

Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'

Чтобы найти отпечаток сертификата, выполните следующую команду:

dir Cert:\LocalMachine\My\

Другие рекомендации по tls/SSL-сертификатам в привязке проверки подлинности по умолчанию и альтернативном режиме привязки TLS

  • Set-AdfsSslCertificate Командлеты — Set-AdfsAlternateTlsClientBinding это командлеты с несколькими узлами, поэтому они должны выполняться только из основного. Командлеты также обновляют все узлы в ферме. Это изменение новое в Server 2016. На сервере 2012 R2 необходимо было запустить командлет на каждом сервере.
  • Set-AdfsAlternateTlsClientBinding Командлеты Set-AdfsSslCertificate должны выполняться только на основном сервере. Основной сервер должен запускать Сервер 2016, и вы должны повысить уровень поведения фермы до 2016 года.
  • Set-AdfsAlternateTlsClientBinding Командлеты Set-AdfsSslCertificate используют удаленное взаимодействие PowerShell для настройки других серверов AD FS, убедитесь, что порт 5985 (TCP) открыт на других узлах.
  • Set-AdfsAlternateTlsClientBinding Командлеты Set-AdfsSslCertificate предоставляют субъекту adfssrv разрешения на чтение закрытых ключей TLS/SSL-сертификата. Этот субъект представляет собой службу AD FS. Не обязательно предоставить учетной записи службы AD FS доступ на чтение к закрытым ключам TLS/SSL-сертификата.

Замена TLS/SSL-сертификата для прокси веб-приложения

Если вы хотите настроить оба параметра, привязка проверки подлинности сертификата по умолчанию или альтернативный режим привязки TLS клиента в WAP, можно использовать Set-WebApplicationProxySslCertificate командлет. Чтобы заменить SSL-сертификат WAP на каждом сервере WAP, используйте следующий командлет, чтобы установить новый TLS/SSL-сертификат:

Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'

Если приведенный выше командлет завершается ошибкой, так как старый сертификат уже истек, перенастройка прокси-сервера с помощью следующих командлетов:

$cred = Get-Credential

Введите учетные данные пользователя домена, который является локальным администратором на сервере AD FS

Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'