Gerenciar certificados TLS/SSL no AD FS e WAP no Windows Server 2016
Este artigo descreve como implantar um novo certificado TLS/SSL em seus servidores dos Serviços de Federação do Active Directory (AD FS) e do WAP (Proxy de Aplicativo Web).
Observação
A maneira recomendada de substituir o certificado TLS/SSL daqui para a frente para um farm do AD FS é usar o Microsoft Entra Connect. Para obter mais informações, confira Atualizar o certificado TLS/SSL para um farm dos Serviços de Federação do Active Directory (AD FS).
Obter seus certificados TLS/SSL
Para farms do AD FS de produção, é recomendável um certificado TLS/SSL publicamente confiável. O AD FS obtém este certificado enviando uma CSR (solicitação de assinatura de certificado) para um provedor de certificados público terceirizado. Há várias maneiras de gerar a CSR, inclusive por meio de um computador com Windows 7 ou superior. Seu fornecedor deveria ter a documentação deste processo.
- Verifique se o certificado atende aos requisitos de certificado TLS/SSL do AD FS e do Proxy de Aplicativo Web.
Certificados necessários
Você deve usar um certificado TLS/SSL comum em todos os servidores do AD FS e do WAP. Para ver os requisitos detalhados, confira os Requisitos de certificado TLS/SSL do AD FS e do Proxy de Aplicativo Web.
Requisitos de certificado TLS/SSL
Para ver os requisitos, incluindo a nomenclatura, a raiz de confiança e as extensões, confira os Requisitos de certificado TLS/SSL do AD FS e do Proxy de Aplicativo Web.
Substituir o certificado TLS/SSL para o AD FS
Observação
O certificado TLS/SSL do AD FS não é o mesmo que o certificado de comunicações do Serviço do AD FS encontrado no snap-in de Gerenciamento do AD FS. Para alterar o certificado TLS/SSL do AD FS, você precisa usar o PowerShell.
Primeiro, determine se os seus servidores do AD FS estão executando no modo de associação de autenticação de certificado padrão ou no modo de associação TLS de cliente alternativo.
Substitua o certificado TLS/SSL para o AD FS em execução no modo de associação de autenticação de certificado padrão
Por padrão, o AD FS executa a autenticação do certificado do dispositivo na porta 443 e a autenticação do certificado do usuário na porta 49443 (ou em uma porta configurável que não seja a 443).
Nesse modo, use o cmdlet Set-AdfsSslCertificate do PowerShell para gerenciar o certificado TLS/SSL, conforme mostrado nas seguintes etapas:
Primeiro, você precisa obter o novo certificado. Você pode obtê-lo enviando uma CSR (solicitação de assinatura de certificado) para um provedor de certificado público terceirizado. Há várias maneiras de gerar a CSR, inclusive por meio de um computador com Windows 7 ou superior. Seu fornecedor deveria ter a documentação deste processo.
- Verifique se o certificado atende aos requisitos de certificado SSL do AD FS e do Proxy de aplicativo Web
Depois de obter a resposta do provedor de certificados, importe-o para o repositório do computador local em cada AD FS e WAP.
No servidor do AD FS primário, use o seguinte cmdlet para instalar o novo certificado TLS/SSL:
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
A impressão digital do certificado pode ser encontrada executando este comando:
dir Cert:\LocalMachine\My\
Substituir o certificado TLS/SSL para o AD FS em execução no modo de associação de TLS alternativo
Quando configurado no modo de associação de TLS de cliente alternativo, o AD FS executa a autenticação de certificado de dispositivo na porta 443. Ele também executa a autenticação de certificado do usuário na porta 443, em um nome de host diferente. O nome do host do certificado do usuário é o nome do host do AD FS com o prefixo certauth, por exemplo, certauth.fs.contoso.com.
Nesse modo, use o cmdlet Set-AdfsAlternateTlsClientBinding do PowerShell para gerenciar o certificado TLS/SSL. Esse cmdlet gerencia não apenas a associação de TLS de cliente alternativo, mas também todas as outras associações em que o AD FS define o certificado TLS/SSL.
Use as etapas a seguir para substituir o certificado TLS/SSL para o AD FS em execução no modo de associação de TLS alternativo.
Primeiro, você precisa obter o novo certificado. Você pode obtê-lo enviando uma CSR (solicitação de assinatura de certificado) para um provedor de certificado público terceirizado. Há várias maneiras de gerar a CSR, inclusive por meio de um computador com Windows 7 ou superior. Seu fornecedor deveria ter a documentação deste processo.
- Verifique se o certificado atende aos requisitos de certificado TLS/SSL do AD FS e do Proxy de Aplicativo Web.
Depois de obter a resposta do provedor de certificados, importe-o para o repositório do computador local em cada AD FS e WAP.
No servidor do AD FS primário, use o seguinte cmdlet para instalar o novo certificado TLS/SSL:
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
A impressão digital do certificado pode ser encontrada executando este comando:
dir Cert:\LocalMachine\My\
Outras considerações para certificados TLS/SSL em associação de autenticação de certificado padrão e no modo de associação de TLS alternativo
- Os cmdlets
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingsão cmdlets de vários nós, portanto, deve ser executados apenas no servidor primário. Os cmdlets também atualizam todos os nós do farm. Essa alteração é nova no Server 2016. No Server 2012 R2, você precisava executar o cmdlet em cada servidor. - Os cmdlets
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingprecisam ser executados somente no servidor primário. O servidor primário precisa executar o Server 2016 e você deve elevar o nível de comportamento do farm para 2016. - Os cmdlets
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingusam o PowerShell Remoting para configurar os outros servidores do AD FS; verifique se a porta 5985 (TCP) está aberta nos outros nós. - Os cmdlets
Set-AdfsSslCertificateeSet-AdfsAlternateTlsClientBindingconcedem as permissões de leitura da entidade de segurança adfssrv às chaves privadas do certificado TLS/SSL. Essa entidade de segurança representa o serviço do AD FS. Não é necessário conceder à conta de serviço do AD FS acesso de leitura às chaves privadas do certificado TLS/SSL.
Substituir o certificado TLS/SSL do Proxy de Aplicativo Web
Se deseja configurar ambos os modos de associação de autenticação de certificado padrão e de associação TLS de cliente alternativo no WAP, você pode usar o cmdlet Set-WebApplicationProxySslCertificate.
Para substituir o certificado TLS/SSL do WAP em cada servidor WAP, use o seguinte cmdlet a fim de instalar o novo certificado TLS/SSL:
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
Se o cmdlet acima falhar porque o certificado antigo já expirou, reconfigure o proxy usando os seguintes cmdlets:
$cred = Get-Credential
Insira as credenciais de um usuário de domínio que é o administrador local no servidor do AD FS
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'