Обновление сертификатов Active Directory Federation Services

В данной публикации будет рассмотрена процедура обновление сертификата для Active Directory Federation Services.

Под процедурой обновления прошу понимать процесс установки уже выпущенного сертификата взамен имеющегося.

Выпуск сертификата


Мы не будем рассматривать непосредственно процесс выпуска сертификата. Однако, отмечу, что в нашем случае был выпущен бесплатный сертификат от Let’s Encrypt, как рассказано в этой статье.

Имя нашего выпускаемого сертификата: *.itproblog.ru.

Формат – PFX файл.

Установка сертификата в хранилище сертификатов компьютера

После того, как сертификат был выпущен его необходимо установить в локальное хранилище сертификатов компьютера. Для этого выполним импорт сертификата:

1. Запустим мастер импорта и выберем локальное хранилище компьюетра:

2. Укажем путь до файла с сертификатом:

3. Укажем пароль к PFX файлу и скажем, что мы сделаем закрытый ключ экспортируемым:

4. Выберем опцию автоматического определения контейнера в хранилище сертификатов компьютера. В таком случае сертификат импортируется в контейнерPersonal“. Это именно то, что нам нужно:

5. Завершим процедуру импорта:

6. В случае успешного импорта мастер импорта сертификата сообщит нам об этом:

Так же мы увидим наш сертификат в контейнере “Личное” локального хранилища сертификатов компьютера:

Изменение SSL сертификата в конфигурации

Далее нам необходимо изменить сертификат в конфигурации AD FS.

Для этого нам необходимо знать отпечаток нашего нового сертификата:

Изменим SSL сертификат в конфигурации AD FS:

Set-AdfsSslCertificate –Thumbprint 62ae53ebc1efc7e9db916fced37d1e5840b7acf9

Выбор нового сертификата взаимодействия между сервисами (Service Communication Certificate)

После импорта нужного нам сертификата в консоли администрирования AD FS необходимо указать, что для взаимодействия между сервисами необходимо использовать именно этот сертификат:

1. Запустим оснастку управления AD FS (AD FS Management) и перейдем в узел управления сертификатами:

2. Справа в меню действий выбираем пункт “Set Service Communication Certificare…”.

3. В появившемся диалоговом окне необходимо выбрать актуальный сертификат и нажать “OK”.

Проверка корректности установки новых сертификатов

Проверить корректно ли установились все необходимые сертификаты или нет можно указанным ниже способом.

  1. Сначала проверим – корректно ли установился SSL сертификат:
Get-AdfsSslCertificate

Мы видим, что отпечаток сертификата соответствует тому сертификату, который мы установили ранее, т.е. SSL сертификат установился корректно.

2. Далее проверим сертификат (Service Communication):

 Get-AdfsCertificate -CertificateType Service-Communications

Как видно из скриншота выше – установлен именно тот сертификат, который нам нужен.

3. Последним шагом можем выполнить тестовый вход. Для этого в любом браузере перейдите по следующему пути:

https://sts.itproblog.ru/adfs/ls/idpinitiatedsignon

Здесь мы тоже видим, что сервер AD FS ответил нам с применением корректного сертификата.

Если на данном шаге у вас генерируется ошибка о том, что такого URL не существует, то нужно проверить – включена ли в вашем AD FS страница для тестового входа.

Заключение

В данной публикации мы выполнили замену SSL сертификата на сервер с AD FS, а также замену сертификата для Service Communication.

Затем мы выполнили шаги для проверки – корректно ли установились все необходимые нам сертификаты или нет.

Добавить комментарий

Ваш адрес email не будет опубликован.