Atualizar o certificado TLS/SSL para um farm dos Serviços de Federação do Active Directory (AD FS)

Visão geral

Este artigo descreve como usar o Microsoft Entra Connect para atualizar o certificado TLS/SSL para um farm do AD FS (Serviços de Federação do Active Directory). Você pode usar a ferramenta Microsoft Entra Connect para atualizar facilmente o certificado TLS/SSL para o farm do AD FS, mesmo que o método selecionado de conexão do usuário não seja o AD FS.

Você pode realizar toda a operação de atualização do certificado TLS/SSL para o farm do AD FS em todos os servidores de federação e de WAP (Proxy de Aplicativo Web) em três etapas simples:

Three steps

Observação

Para saber mais sobre os certificados usados pelo AD FS, confira Noções básicas sobre os certificados usados pelo AD FS.

Pré-requisitos

  • Farm do AD FS: certifique-se de que seu farm do AD FS seja baseado no Windows Server 2012 R2 ou posterior.
  • Microsoft Entra Connect: certifique-se de que a versão do Microsoft Entra Connect seja 1.1.553.0 ou posterior. Você usará a tarefa Atualizar certificado SSL do AD FS.

Update TLS task

Etapa 1: fornecer informações do farm do AD FS

O Microsoft Entra Connect tenta obter as informações sobre o farm do AD FS automaticamente por:

  1. Consulta das informações do farm do AD FS (Windows Server 2016 ou superior).
  2. Referência às informações de execuções anteriores, armazenadas localmente com o Microsoft Entra Connect.

Modifique a lista de servidores exibida adicionando ou removendo os servidores para refletir a configuração atual do farm do AD FS. Assim que as informações do servidor são fornecidas, o Microsoft Entra Connect exibe a conectividade e o status atual do certificado TLS/SSL.

AD FS server info

Se a lista contiver um servidor que não faz mais parte do farm do AD FS, clique em Remover para excluir o servidor da lista de servidores no farm do AD FS.

Offline server in list

Observação

A remoção de um servidor da lista de servidores do farm do AD FS no Microsoft Entra Connect é uma operação local e atualiza as informações para o farm do AD FS que o Microsoft Entra Connect mantém localmente. O Microsoft Entra Connect não modificará a configuração no AD FS para refletir a alteração.

Etapa 2: Fornecer um novo certificado TLS/SSL

Depois de confirmar as informações sobre os servidores do farm do AD FS, o Microsoft Entra Connect solicitará o novo certificado TLS/SSL. Forneça um certificado PFX protegido por senha para continuar a instalação.

TLS/SSL certificate

Depois de fornecer o certificado, o Microsoft Entra Connect passará por uma série de pré-requisitos. Verifique o certificado para garantir que esteja correto para o farm do AD FS:

  • O nome da entidade/nome alternativo da entidade do certificado é o mesmo que o nome do serviço de federação, ou é um certificado curinga.
  • O certificado é válido por mais de 30 dias.
  • A cadeia confiável de certificado é válida.
  • O certificado é protegido por senha.

Etapa 3: Selecionar servidores para atualização

Na próxima etapa, selecione os servidores que precisam do certificado TLS/SSL atualizado. Servidores offline não podem ser selecionados para a atualização.

Select servers to update

Após a conclusão da configuração, o Microsoft Entra Connect exibirá a mensagem que indica o status da atualização e fornece uma opção para verificar a entrada do AD FS.

Configuration complete

Perguntas Frequentes

  • Qual deve ser o nome da entidade do certificado para o novo certificado TLS/SSL do AD FS?

    O Microsoft Entra Connect verifica se o nome da entidade/nome da entidade alternativo do certificado contém o nome do serviço de federação. Por exemplo, se o nome do seu serviço de Federação for fs.contoso.com, o nome da entidade alternativo/nome da entidade deverá ser fs.contoso.com. Certificados curinga também são aceitos.

  • Por que as credenciais estão sendo solicitadas novamente na página do servidor WAP?

    Se as credenciais fornecidas para conexão com servidores do AD FS também não tiverem o privilégio para gerenciar os servidores WAP, o Microsoft Entra Connect solicitará credenciais que tenham privilégio administrativo nos servidores WAP.

  • O servidor é mostrado como offline. O que devo fazer?

    O Microsoft Entra Connect não poderá executar nenhuma operação se o servidor estiver offline. Se o servidor fizer parte do farm do AD FS, verifique a conectividade com o servidor. Depois de resolver o problema, pressione o ícone de atualização para atualizar o status no assistente. Se o servidor fazia parte do farm, mas agora não existe mais, clique em Remover para excluí-lo da lista de servidores que o Microsoft Entra Connect mantém. A remoção do servidor da lista no Microsoft Entra Connect não altera a própria configuração do AD FS. Se você estiver usando o AD FS no Windows Server 2016 ou posterior, o servidor permanecerá nas definições de configuração e será exibido na próxima vez em que a tarefa for executada.

  • Posso atualizar um subconjunto dos meus servidores do farm com o novo certificado TLS/SSL?

    Sim. Você também pode executar a tarefa Atualizar certificado SSL novamente para atualizar os servidores restantes. Na página Selecionar servidores para atualização de certificado SSL, você pode classificar a lista de servidores na Data de expiração do SSL para acessar facilmente os servidores que ainda não foram atualizados.

  • Eu removi o servidor na execução anterior, mas ele ainda está sendo mostrado como offline e listado na página de servidores do AD FS. Por que o servidor offline ainda está lá mesmo após a remoção?

    A remoção do servidor da lista no Microsoft Entra Connect não o remove na configuração do AD FS. O Microsoft Entra Connect consulta o AD FS (Windows Server 2016 ou posterior) para obter informações sobre o farm. Se o servidor ainda estiver presente na configuração do AD FS, ele será relacionado novamente na lista.

Próximas etapas