Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver hur du distribuerar ett nytt TLS/SSL-certifikat till dina ACTIVE Directory Federation Services-servrar (AD FS) och WAP-servrar (Web Application Proxy).
Note
Det rekommenderade sättet att ersätta TLS/SSL-certifikatet framöver för en AD FS-servergrupp är att använda Microsoft Entra Connect. Mer information finns i Uppdatera TLS/SSL-certifikatet för en Ad FS-servergrupp (Active Directory Federation Services).
Hämta dina TLS/SSL-certifikat
För AD FS-produktionsfarmar rekommenderas ett offentligt betrott TLS/SSL-certifikat. AD FS hämtar det här certifikatet genom att skicka en begäran om certifikatsignering (CSR) till en offentlig certifikatleverantör från tredje part. Det finns olika sätt att generera CSR, bland annat från en Windows 7- eller högre dator. Leverantören bör ha dokumentation för den här processen.
- Kontrollera att certifikatet uppfyller kraven för AD FS- och webbprogramproxy-TLS/SSL-certifikat.
Certifikat som behövs
Du bör använda ett vanligt TLS/SSL-certifikat för alla AD FS- och WAP-servrar. Detaljerade krav finns i AD FS och TLS/SSL-certifikatkrav för webbprogramproxy.
TLS/SSL-certifikatkrav
Krav, inklusive namngivning av "root of trust" och tillägg, finns i AD FS och krav på TLS/SSL-certifikat för webbapplikationsproxy.
Ersätt TLS/SSL-certifikatet för AD FS
Note
AD FS TLS/SSL-certifikatet är inte detsamma som AD FS Service-kommunikationscertifikatet som finns i snapin-modulen AD FS Management. Om du vill ändra AD FS TLS/SSL-certifikatet måste du använda PowerShell.
Ta först reda på om dina AD FS-servrar kör standardläget för certifikatautentiseringsbindning eller alternativt TLS-bindningsläge för klienten.
Ersätt TLS/SSL-certifikatet för AD FS som körs i standardläget för certifikatautentiseringsbindning
AD FS utför som standard enhetscertifikatautentisering på port 443 och användarcertifikatautentisering på port 49443 (eller en konfigurerbar port som inte är 443).
I det här läget använder du PowerShell-cmdleten Set-AdfsSslCertificate för att hantera TLS/SSL-certifikatet enligt följande steg:
Först måste du hämta det nya certifikatet. Du kan hämta den genom att skicka en begäran om certifikatsignering (CSR) till en offentlig certifikatleverantör från tredje part. Det finns olika sätt att generera CSR, bland annat från en Windows 7- eller högre dator. Leverantören bör ha dokumentation för den här processen.
- Kontrollera att certifikatet uppfyller kraven för AD FS- och Web Application Proxy SSL-certifikat
När du har fått svaret från certifikatprovidern importerar du det till det lokala datorarkivet på varje AD FS och WAP.
På den primära AD FS-servern använder du följande cmdlet för att installera det nya TLS/SSL-certifikatet:
Set-AdfsSslCertificate -Thumbprint '<thumbprint of new cert>'
Du hittar certifikatets tumavtrycket genom att köra det här kommandot:
dir Cert:\LocalMachine\My\
Ersätt TLS/SSL-certifikatet för AD FS som körs i alternativt TLS-bindningsläge
När AD FS konfigureras i alternativt TLS-bindningsläge för klienten utför det enhetscertifikatautentisering på port 443. Den utför även autentisering av användarcertifikat på port 443 på ett annat värdnamn. Värdnamnet för användarcertifikatet är AD FS-värdnamnet som har förberetts med certauth, till exempel certauth.fs.contoso.com.
I det här läget använder du PowerShell-cmdleten Set-AdfsAlternateTlsClientBinding för att hantera TLS/SSL-certifikatet. Den här cmdleten hanterar inte bara den alternativa klient-TLS-bindningen utan även alla andra bindningar som AD FS anger TLS/SSL-certifikatet på.
Använd följande steg för att ersätta ditt TLS/SSL-certifikat för AD FS som körs i alternativt TLS-bindningsläge.
Först måste du hämta det nya certifikatet. Du kan hämta den genom att skicka en begäran om certifikatsignering (CSR) till en offentlig certifikatleverantör från tredje part. Det finns olika sätt att generera CSR, bland annat från en Windows 7- eller högre dator. Leverantören bör ha dokumentation för den här processen.
- Kontrollera att certifikatet uppfyller kraven för AD FS- och webbprogramproxy-TLS/SSL-certifikat.
När du har fått svaret från certifikatprovidern importerar du det till det lokala datorarkivet på varje AD FS och WAP.
På den primära AD FS-servern använder du följande cmdlet för att installera det nya TLS/SSL-certifikatet:
Set-AdfsAlternateTlsClientBinding -Thumbprint '<thumbprint of new cert>'
Du hittar certifikatets tumavtrycket genom att köra det här kommandot:
dir Cert:\LocalMachine\My\
Andra överväganden för TLS-/SSL-certifikat i standardbindning av certifikatautentisering och alternativt TLS-bindningsläge
-
Set-AdfsSslCertificateochSet-AdfsAlternateTlsClientBindingcmdletarna är multinod-cmdletar, så de behöver bara köras från primärnoden. Cmdletarna uppdaterar också alla noder i servergruppen. Den här ändringen är ny i Server 2016. På Server 2012 R2 var du tvungen att köra cmdleten på varje server. - De
Set-AdfsSslCertificateochSet-AdfsAlternateTlsClientBindingcmdletarna måste endast köras på den primära servern. Den primära servern måste köra Server 2016 och du bör höja servergruppens beteendenivå till 2016. - Cmdletarna
Set-AdfsSslCertificateochSet-AdfsAlternateTlsClientBindinganvänder PowerShell-fjärrkommunikation för att konfigurera de andra AD FS-servrarna. Kontrollera att port 5985 (TCP) är öppen på de andra noderna. -
Set-AdfsSslCertificatecmdletarna ochSet-AdfsAlternateTlsClientBindingger adfssrv-principalen läsbehörighet till de privata nycklarna i TLS/SSL-certifikatet. Det här huvudkontot representerar AD FS-tjänsten. Det är inte nödvändigt att ge AD FS-tjänstkontot läsbehörighet till de privata nycklarna i TLS/SSL-certifikatet.
Ersätt TLS/SSL-certifikatet för webbprogramproxyn
Om du vill konfigurera båda, standardvärdet för certifikatautentiseringsbindning eller alternativt TLS-bindningsläge för klienten i WAP, kan du använda cmdleten Set-WebApplicationProxySslCertificate .
Om du vill ersätta WAP TLS/SSL-certifikatet på varje WAP-server använder du följande cmdlet för att installera det nya TLS/SSL-certifikatet:
Set-WebApplicationProxySslCertificate -Thumbprint '<thumbprint of new cert>'
Om ovanstående cmdlet misslyckas eftersom det gamla certifikatet redan har upphört att gälla konfigurerar du om proxyn med hjälp av följande cmdletar:
$cred = Get-Credential
Ange autentiseringsuppgifterna för en domänanvändare som är lokal administratör på AD FS-servern
Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '<thumbprint of new cert>' -FederationServiceName 'fs.contoso.com'