如何为AD FS更新证书

Active Directory联合身份验证服务(AD FS)3.0是Windows Server 2012 R2中包括的服务器角色。

Active Directory联合身份验证服务(AD FS)4.0是Windows Server 2016中包括的服务器角色。

联合服务器使用的证书

每个联合服务器都必须具有服务器身份验证证书和令牌签名证书,然后才能参与AD FS通信。信任策略需要一个关联的证书,称为验证证书,它是令牌签名证书的公钥部分。

服务器认证证书

联合服务器使用安全套接字层(SSL)服务器身份验证证书来保护Web服务流量,以与Web客户端或联合服务器代理进行通信。通过Internet信息服务(IIS)管理单元请求并安装这些证书。

令牌签名证书

每个联合服务器使用令牌签名证书对它产生的所有安全令牌进行数字签名。因为每个安全令牌都是由帐户伙伴进行数字签名的,所以资源伙伴可以验证该安全令牌实际上是由帐户伙伴发布的,并且没有被修改。这有助于防止***者伪造或修改安全令牌以获取对资源的未授权访问。如果存在多个联合服务器,则帐户伙伴中还将使用安全令牌上的数字签名。在这种情况下,数字签名将验证由帐户伙伴中其他联合服务器发行的安全令牌的来源和完整性。数字签名已通过验证证书进行验证。

替换AD FS服务器场的SSL证书

通常,AD FS服务器场的SSL证书来自可信的第三方CA,例如DigiCert或Verisign。这是传统的SSL证书,就像您在IIS中将其用于任何安全的Web服务器一样。为此,您可以使用单一名称,使用者备用名称(SAN)或通配符证书,只要它是内部和外部AD FS客户端有效且受其信任的即可。您可以在此处找到有关证书要求的更多信息。

现在,您可以使用Azure AD Connect工具来更新Active Directory联合身份验证服务(AD FS)服务器场的SSL证书。 AD Connect是更改SSL证书的首选方法。

您可以通过三个简单步骤在所有联合身份验证和Web应用程序代理(WAP)服务器上执行为AD FS服务器场更新SSL证书的整个操作:

  1. 提供ADFS场信息

  2. 提供新的SSL证书

  3. 选择要更新的服务器

先决条件

  • AD FS服务器场:确保您的AD FS服务器场是基于Windows Server 2012 R2或更高版本。

  • Azure AD Connect:确保Azure AD Connect的版本为1.1.553.0或更高版本。您将使用任务Update AD FS SSL证书

步骤1:提供AD FS服务器场信息

Azure AD Connect尝试通过以下方式自动获取有关AD FS服务器场的信息:

  1. 从AD FS查询服务器场信息(Windows Server 2016或更高版本)。

  2. 引用以前运行的信息,这些信息与Azure AD Connect一起存储在本地。

您可以通过添加或删除服务器来修改显示的服务器列表,以反映AD FS服务器场的当前配置。提供服务器信息后,Azure AD Connect就会显示连接性和当前SSL证书状态。

如果列表中包含的服务器不再属于AD FS服务器场,请单击“ 删除”以从AD FS服务器场中的服务器列表中删除该服务器。

注意-从Azure AD Connect中的AD FS场的服务器列表中删除服务器是一项本地操作,并更新Azure AD Connect本地维护的AD FS场的信息。Azure AD Connect不会修改AD FS上的配置以反映更改。

步骤2:提供新的SSL证书

确认有关AD FS场服务器的信息后,Azure AD Connect要求提供新的SSL证书。提供受密码保护的PFX证书以继续安装。

提供证书后,Azure AD Connect会满足一系列先决条件。验证证书,以确保证书对于AD FS服务器场是正确的:

  • 证书的主题名称/备用主题名称与联合身份验证服务名称相同,或者是通配符证书。

  • 该证书的有效期超过30天。

  • 证书信任链有效。

  • 证书受密码保护。

步骤3:选择要更新的服务器

在下一步中,选择需要更新SSL证书的服务器。无法选择离线服务器进行更新。

完成配置后,Azure AD Connect将显示指示更新状态的消息,并提供用于验证AD FS登录的选项。

  • 提示:使用 DigiCert SSL安装诊断工具   来确认证书和所有中间证书是否已正确安装。此工具可与任何第三方CA证书一起使用,而不仅仅是DigiCert的。

Azure 配置管理系列AD FS(PART2)