Gerenciar certificados TLS/SSL no AD FS e WAP no Windows Server 2016

Este artigo descreve como implantar um novo certificado TLS/SSL em seus servidores dos Serviços de Federação do Active Directory (AD FS) e do WAP (Proxy de Aplicativo Web).

Observação

A maneira recomendada de substituir o certificado TLS/SSL daqui para a frente para um farm do AD FS é usar o Microsoft Entra Connect. Para obter mais informações, confira Atualizar o certificado TLS/SSL para um farm dos Serviços de Federação do Active Directory (AD FS).

Obter seus certificados TLS/SSL

Para farms do AD FS de produção, é recomendável um certificado TLS/SSL publicamente confiável. O AD FS obtém este certificado enviando uma CSR (solicitação de assinatura de certificado) para um provedor de certificados público terceirizado. Há várias maneiras de gerar a CSR, inclusive por meio de um computador com Windows 7 ou superior. Seu fornecedor deveria ter a documentação deste processo.

Certificados necessários

Você deve usar um certificado TLS/SSL comum em todos os servidores do AD FS e do WAP. Para ver os requisitos detalhados, confira os Requisitos de certificado TLS/SSL do AD FS e do Proxy de Aplicativo Web.

Requisitos de certificado TLS/SSL

Para ver os requisitos, incluindo a nomenclatura, a raiz de confiança e as extensões, confira os Requisitos de certificado TLS/SSL do AD FS e do Proxy de Aplicativo Web.

Substituir o certificado TLS/SSL para o AD FS

Observação

O certificado TLS/SSL do AD FS não é o mesmo que o certificado de comunicações do Serviço do AD FS encontrado no snap-in de Gerenciamento do AD FS. Para alterar o certificado TLS/SSL do AD FS, você precisa usar o PowerShell.

Primeiro, determine se os seus servidores do AD FS estão executando no modo de associação de autenticação de certificado padrão ou no modo de associação TLS de cliente alternativo.

Substitua o certificado TLS/SSL para o AD FS em execução no modo de associação de autenticação de certificado padrão

Por padrão, o AD FS executa a autenticação do certificado do dispositivo na porta 443 e a autenticação do certificado do usuário na porta 49443 (ou em uma porta configurável que não seja a 443). Nesse modo, use o cmdlet Set-AdfsSslCertificate do PowerShell para gerenciar o certificado TLS/SSL, conforme mostrado nas seguintes etapas:

  1. Primeiro, você precisa obter o novo certificado. Você pode obtê-lo enviando uma CSR (solicitação de assinatura de certificado) para um provedor de certificado público terceirizado. Há várias maneiras de gerar a CSR, inclusive por meio de um computador com Windows 7 ou superior. Seu fornecedor deveria ter a documentação deste processo.

  2. Depois de obter a resposta do provedor de certificados, importe-o para o repositório do computador local em cada AD FS e WAP.

  3. No servidor do AD FS primário, use o seguinte cmdlet para instalar o novo certificado TLS/SSL:

Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'

A impressão digital do certificado pode ser encontrada executando este comando:

dir Cert:\LocalMachine\My\

Substituir o certificado TLS/SSL para o AD FS em execução no modo de associação de TLS alternativo

Quando configurado no modo de associação de TLS de cliente alternativo, o AD FS executa a autenticação de certificado de dispositivo na porta 443. Ele também executa a autenticação de certificado do usuário na porta 443, em um nome de host diferente. O nome do host do certificado do usuário é o nome do host do AD FS com o prefixo certauth, por exemplo, certauth.fs.contoso.com. Nesse modo, use o cmdlet Set-AdfsAlternateTlsClientBinding do PowerShell para gerenciar o certificado TLS/SSL. Esse cmdlet gerencia não apenas a associação de TLS de cliente alternativo, mas também todas as outras associações em que o AD FS define o certificado TLS/SSL.

Use as etapas a seguir para substituir o certificado TLS/SSL para o AD FS em execução no modo de associação de TLS alternativo.

  1. Primeiro, você precisa obter o novo certificado. Você pode obtê-lo enviando uma CSR (solicitação de assinatura de certificado) para um provedor de certificado público terceirizado. Há várias maneiras de gerar a CSR, inclusive por meio de um computador com Windows 7 ou superior. Seu fornecedor deveria ter a documentação deste processo.

  2. Depois de obter a resposta do provedor de certificados, importe-o para o repositório do computador local em cada AD FS e WAP.

  3. No servidor do AD FS primário, use o seguinte cmdlet para instalar o novo certificado TLS/SSL:

Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'

A impressão digital do certificado pode ser encontrada executando este comando:

dir Cert:\LocalMachine\My\

Outras considerações para certificados TLS/SSL em associação de autenticação de certificado padrão e no modo de associação de TLS alternativo

  • Os cmdlets Set-AdfsSslCertificate e Set-AdfsAlternateTlsClientBinding são cmdlets de vários nós, portanto, deve ser executados apenas no servidor primário. Os cmdlets também atualizam todos os nós do farm. Essa alteração é nova no Server 2016. No Server 2012 R2, você precisava executar o cmdlet em cada servidor.
  • Os cmdlets Set-AdfsSslCertificate e Set-AdfsAlternateTlsClientBinding precisam ser executados somente no servidor primário. O servidor primário precisa executar o Server 2016 e você deve elevar o nível de comportamento do farm para 2016.
  • Os cmdlets Set-AdfsSslCertificate e Set-AdfsAlternateTlsClientBinding usam o PowerShell Remoting para configurar os outros servidores do AD FS; verifique se a porta 5985 (TCP) está aberta nos outros nós.
  • Os cmdlets Set-AdfsSslCertificate e Set-AdfsAlternateTlsClientBinding concedem as permissões de leitura da entidade de segurança adfssrv às chaves privadas do certificado TLS/SSL. Essa entidade de segurança representa o serviço do AD FS. Não é necessário conceder à conta de serviço do AD FS acesso de leitura às chaves privadas do certificado TLS/SSL.

Substituir o certificado TLS/SSL do Proxy de Aplicativo Web

Se deseja configurar ambos os modos de associação de autenticação de certificado padrão e de associação TLS de cliente alternativo no WAP, você pode usar o cmdlet Set-WebApplicationProxySslCertificate. Para substituir o certificado TLS/SSL do WAP em cada servidor WAP, use o seguinte cmdlet a fim de instalar o novo certificado TLS/SSL:

Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'

Se o cmdlet acima falhar porque o certificado antigo já expirou, reconfigure o proxy usando os seguintes cmdlets:

$cred = Get-Credential

Insira as credenciais de um usuário de domínio que é o administrador local no servidor do AD FS

Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'