AD FS の証明書更新手順 (SSLサーバー証明書)

皆様、こんにちは。Azure & Identity サポート担当の竹村です。
今回は、比較的多くのお客様からお問合せをいただく、AD FS の証明書更新手順をご紹介します。
本エントリでは SSLサーバー証明書 (サービス通信証明書) の手順をご紹介し、次回にトークン署名証明書、トークン暗号化証明書についてもご案内したいと思います。

 

- 対象リリース
Windows Server 2012 R2 (AD FS 3.0)

 

- 更新手順
以下の流れで更新作業を行います。

 

------------------
手順の概要
------------------
1. 証明書の取得
2. SSL サーバー証明書、ルート証明書、中間証明書のインストール
3. SSL サーバー証明書のアクセス権設定
4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定
5. AD FS の SSL サーバー証明書を更新
6. WAP サーバーを再構成

 

それぞれの詳細を後述致します。

----------------------------------------------------------------
1. 証明書の取得
----------------------------------------------------------------
ご利用になる認証機関から SSL サーバー証明書とルート証明書、中間証明書を取得します。
認証機関によって CSR 作成・送信、証明書受領手順が異なるため、手順は省略します。

 

----------------------------------------------------------------
2. SSL サーバー証明書、ルート証明書、中間証明書のインストール
----------------------------------------------------------------
ご利用になる認証機関から取得した SSL サーバー証明書、ルート証明書、中間証明書を以下手順でインストールします。

※ インポートする中間証明書の有無や数は、ご利用の認証機関によって異なります。

全 AD FS サーバー、全 WAP サーバーにて以下を実施します。
2-1. [スタート] - [ファイル名を指定して実行] から certlm.msc と入力し、[OK] をクリックします。
2-2. 画面左側から以下のストアを展開します。

[証明書 (ローカル コンピューター)] - [信頼されたルート証明機関] - [証明書]

2-3. [証明書] を右クリックし、[すべてのタスク] - [インポート] を選択し、ウィザードに従って SSL サーバー証明書の発行元証明機関のルート証明書をインストールします。
2-4. 続けて、画面左側から以下のストアを展開します。

[証明書 (ローカル コンピューター)] - [中間証明機関] - [証明書]

2-5. [証明書] を右クリックし、[すべてのタスク] - [インポート] を選択し、ウィザードに従って SSL サーバー証明書の発行元証明機関の中間証明書をインストールします。
2-6. 続けて、画面左側から以下のストアを展開します。

[証明書 (ローカル コンピューター)] - [個人] - [証明書]

2-7. [証明書] を右クリックし、[すべてのタスク] - [インポート] を選択し、ウィザードに従って SSL サーバー証明書をインストールします。

 

----------------------------------------------------------------
3. SSL サーバー証明書のアクセス権設定
----------------------------------------------------------------
証明書に、AD FS サービス アカウントに必要なアクセス許可を付与します。

全 AD FS サーバーにて以下を実施します。
3-1. [スタート] - [ファイル名を指定して実行] から certlm.msc と入力し、[OK] をクリックします。
3-2. 画面左側から以下のストアを展開します。

[証明書 (ローカル コンピューター)] - [個人] - [証明書]

3-3. 中央から、手順 2. でインストールした SSL サーバー証明書を右クリックして、[すべてのタスク] - [秘密キーの管理] をクリックします。

※ もし [秘密キーの管理] を実行できない場合は、次のコマンドを実行してください。
このコマンドを実行することにより、個人ストアのすべての証明書のキーの関連付けの修復、または証明書プロパティやキーのセキュリティ記述子の更新を行います。

certutil -repairstore my *

3-4. NT SERVICE\ADFSSRV と NT SERVICE\DRS (場所はローカル) を [追加] して、各アカウントには、少なくとも読み取りアクセス許可を付与します。

※ NT SERVICE\DRS アカウントが存在しない場合には、NT SERVICE\ADFSSRV にのみアクセス許可を付与します。

 

----------------------------------------------------------------
4. AD FS のサービス通信証明書へ SSL サーバー証明書を設定
----------------------------------------------------------------
AD FS のサービス通信証明書へ SSL サーバー証明書を設定します。

プライマリ AD FS サーバーにて以下を実施します。
4-1. スタート画面などから [AD FS の管理] コンソールを開きます。
4-2. 画面左側から [AD FS] - [サービス] - [証明書] を右クリックし、 [サービス通信証明書の設定] をクリックします。
4-3. 証明書の選択画面から手順 2. でインストールした SSL サーバー証明書を選択します。
4-4. [OK] をクリックします。

※ 警告が表示されましたら、[OK] をクリックします。

 

----------------------------------------------------------------
5. AD FS の SSL サーバー証明書を更新
----------------------------------------------------------------
AD FS の SSL サーバー証明書を更新します。

全 AD FS サーバーにて以下を実施します。
5-1. [スタート] - [ファイル名を指定して実行] から certlm.msc と入力し、[OK] をクリックします。
5-2. 画面左側から以下のストアを展開します。

[証明書 (ローカル コンピューター)] - [個人] - [証明書]

5-3. 中央から、手順 2. でインストールした SSL サーバー証明書をダブル クリックします。
5-4. [詳細] タブをクリックします。
5-5. [拇印] の値をメモします。
5-6. PowerShell を管理者として起動します。
5-7. 起動した PowerShell で以下のコマンドを実行して SSL サーバー証明書を更新します。

Set-AdfsSslCertificate -Thumbprint

例えば、手順 5-5. でメモした拇印が "aa bb cc dd ee" の場合、スペースを除いて以下のようになります。

Set-AdfsSslCertificate -Thumbprint aabbccddee

 

----------------------------------------------------------------
6. WAP サーバーを再構成
----------------------------------------------------------------
WAP サーバーを再構成します。

全 WAP サーバーにて以下を実施します。
6-1. レジストリ エディターを開きます。
6-2. [HKEY_LOCAL_MACHINE\Software\Microsoft\ADFS] を選択します。
6-3. [ProxyConfigurationStatus] をダブル クリックします。
6-4. [値のデータ] を 1 にして [OK] をクリックします。
6-5. スタート画面などから [リモート アクセス管理] コンソールを開きます。
6-6. 画面左側から [構成] - [Web Application Proxy] をクリックします。
6-7. 画面中央から [Web アプリケーション プロキシ構成ウィザードの実行] をクリックします。
6-8. 初期構成時と同様に、WAP サーバーを構成します。
※ [AD FS プロキシの証明書] 画面では、手順 2. でインストールした SSL サーバー証明書を選択します。

 

(注意)
WAPサーバーの再構成を行う際には、hosts ファイルでフェデレーションサービス名がプライマリ AD FS サーバーに名前解決されるように設定ください。
AD FS サーバーとWAPサーバーとの間にロードバランサーが存在するような環境の場合、明示的にプライマリ AD FS サーバーに対して接続されるように設定しておきませんと、再構成に失敗することがございます。

 

 

手順は以上の通りとなります。

上記手順は過去にも同様のお問い合わせをお受けした際、多くのお客様にご案内しております実績のある手順となっておりますので、ご参考いただけますと幸いです。