如何爲AD FS更新證書
Active Directory聯合身份驗證服務(AD FS)3.0是Windows Server 2012 R2中包括的服務器角色。
Active Directory聯合身份驗證服務(AD FS)4.0是Windows Server 2016中包括的服務器角色。
聯合服務器使用的證書
每個聯合服務器都必須具有服務器身份驗證證書和令牌簽名證書,然後才能參與AD FS通信。信任策略需要一個關聯的證書,稱爲驗證證書,它是令牌簽名證書的公鑰部分。
服務器認證證書
聯合服務器使用安全套接字層(SSL)服務器身份驗證證書來保護Web服務流量,以與Web客戶端或聯合服務器代理進行通信。通過Internet信息服務(IIS)管理單元請求並安裝這些證書。
令牌簽名證書
每個聯合服務器使用令牌簽名證書對它產生的所有安全令牌進行數字簽名。因爲每個安全令牌都是由帳戶夥伴進行數字簽名的,所以資源夥伴可以驗證該安全令牌實際上是由帳戶夥伴發佈的,並且沒有被修改。這有助於防止***者僞造或修改安全令牌以獲取對資源的未授權訪問。如果存在多個聯合服務器,則帳戶夥伴中還將使用安全令牌上的數字簽名。在這種情況下,數字簽名將驗證由帳戶夥伴中其他聯合服務器發行的安全令牌的來源和完整性。數字簽名已通過驗證證書進行驗證。
替換AD FS服務器場的SSL證書
通常,AD FS服務器場的SSL證書來自可信的第三方CA,例如DigiCert或Verisign。這是傳統的SSL證書,就像您在IIS中將其用於任何安全的Web服務器一樣。爲此,您可以使用單一名稱,使用者備用名稱(SAN)或通配符證書,只要它是內部和外部AD FS客戶端有效且受其信任的即可。您可以在此處找到有關證書要求的更多信息。
現在,您可以使用Azure AD Connect工具來更新Active Directory聯合身份驗證服務(AD FS)服務器場的SSL證書。 AD Connect是更改SSL證書的首選方法。
您可以通過三個簡單步驟在所有聯合身份驗證和Web應用程序代理(WAP)服務器上執行爲AD FS服務器場更新SSL證書的整個操作:
提供ADFS場信息
提供新的SSL證書
選擇要更新的服務器
先決條件
AD FS服務器場:確保您的AD FS服務器場是基於Windows Server 2012 R2或更高版本。
Azure AD Connect:確保Azure AD Connect的版本爲1.1.553.0或更高版本。您將使用任務Update AD FS SSL證書
![clip_image001[19]](https://s1.51cto.com/images/blog/202003/03/c271aec3291f7d7abc6bd66664e104e6.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image001[19]")
步驟1:提供AD FS服務器場信息
Azure AD Connect嘗試通過以下方式自動獲取有關AD FS服務器場的信息:
從AD FS查詢服務器場信息(Windows Server 2016或更高版本)。
引用以前運行的信息,這些信息與Azure AD Connect一起存儲在本地。
您可以通過添加或刪除服務器來修改顯示的服務器列表,以反映AD FS服務器場的當前配置。提供服務器信息後,Azure AD Connect就會顯示連接性和當前SSL證書狀態。
![clip_image002[20]](https://s1.51cto.com/images/blog/202003/03/a14ff94333dc3b720cbf12daf2c9c1f4.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image002[20]")
如果列表中包含的服務器不再屬於AD FS服務器場,請單擊“ 刪除”以從AD FS服務器場中的服務器列表中刪除該服務器。
![clip_image003[18]](https://s1.51cto.com/images/blog/202003/03/a6feed7bfb5c7431c1fa5d18e284c6da.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image003[18]")
注意-從Azure AD Connect中的AD FS場的服務器列表中刪除服務器是一項本地操作,並更新Azure AD Connect本地維護的AD FS場的信息。Azure AD Connect不會修改AD FS上的配置以反映更改。
步驟2:提供新的SSL證書
確認有關AD FS場服務器的信息後,Azure AD Connect要求提供新的SSL證書。提供受密碼保護的PFX證書以繼續安裝。
![clip_image004[18]](https://s1.51cto.com/images/blog/202003/03/dece1cd06f27b819f843c48ae5d1e468.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image004[18]")
提供證書後,Azure AD Connect會滿足一系列先決條件。驗證證書,以確保證書對於AD FS服務器場是正確的:
證書的主題名稱/備用主題名稱與聯合身份驗證服務名稱相同,或者是通配符證書。
該證書的有效期超過30天。
證書信任鏈有效。
證書受密碼保護。
步驟3:選擇要更新的服務器
在下一步中,選擇需要更新SSL證書的服務器。無法選擇離線服務器進行更新。
![clip_image005[18]](https://s1.51cto.com/images/blog/202003/03/1040d6ed767aec6c1f0a89e13160a03c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image005[18]")
完成配置後,Azure AD Connect將顯示指示更新狀態的消息,並提供用於驗證AD FS登錄的選項。
![clip_image006[14]](https://s1.51cto.com/images/blog/202003/03/aefeb7808e3bc9d57e3fcf00e965acc1.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk= "clip_image006[14]")
提示:使用 DigiCert SSL安裝診斷工具 來確認證書和所有中間證書是否已正確安裝。此工具可與任何第三方CA證書一起使用,而不僅僅是DigiCert的。
Azure 配置管理系列AD FS(PART2)