Обновление сертификатов Active Directory Federation Services
Обновление сертификатов Active Directory Federation Services
В данной публикации будет рассмотрена процедура обновление сертификата для Active Directory Federation Services.
Под процедурой обновления необходимо понимать процесс установки уже выпущенного сертификата взамен имеющегося.
Выпуск сертификата
В данной публикации не будет рассматриваться непосредственно процесс выпуска сертификата. В данном случае, сертификат уже был выпущен.
Имя нашего выпускаемого сертификата: *.itproblog.ru.
Формат – PFX файл.
Установка сертификата в хранилище сертификатов компьютера
После того, как сертификат был выпущен его необходимо установить в локальное хранилище сертификатов компьютера. Для этого выполним импорт сертификата:
1. Запустим мастер импорта и выберем локальное хранилище компьютера:
2. Укажем путь до файла с сертификатом:
3. Укажем пароль к PFX файлу и скажем, что мы сделаем закрытый ключ экспортируемым:
4. Выберем опцию автоматического определения контейнера в хранилище сертификатов компьютера. В таком случае сертификат импортируется в контейнер “Personal“. Это именно то, что нам нужно:
5. Завершим процедуру импорта:
6. В случае успешного импорта мастер импорта сертификата сообщит нам об этом:
Так же мы увидим сертификат в контейнере “Личное” локального хранилища сертификатов компьютера:
Изменение SSL сертификата в конфигурации
Далее необходимо изменить сертификат в конфигурации AD FS.
Для этого необходимо знать отпечаток нашего нового сертификата:
Изменим SSL сертификат в конфигурации AD FS:
Set-AdfsSslCertificate –Thumbprint 62ae53ebc1efc7e9db916fced37d1e5840b7acf9
Выбор нового сертификата взаимодействия между сервисами (Service Communication Certificate)
После импорта нужного сертификата в консоли администрирования AD FS необходимо указать, что для взаимодействия между сервисами необходимо использовать именно этот сертификат:
1. Запустим оснастку управления AD FS (AD FS Management) и перейдем в узел управления сертификатами:
2. Справа в меню действий выбираем пункт “Set Service Communication Certificare…”.
3. В появившемся диалоговом окне необходимо выбрать актуальный сертификат и нажать “OK”.
Проверка корректности установки новых сертификатов
Проверить корректно ли установились все необходимые сертификаты или нет можно указанным ниже способом.
- Сначала проверим – корректно ли установился SSL сертификат:
Get-AdfsSslCertificate
Мы видим, что отпечаток сертификата соответствует тому сертификату, который установили ранее, т.е. SSL сертификат установился корректно.
2. Далее проверим сертификат (Service Communication):
Get-AdfsCertificate -CertificateType Service-Communications
Как видно из скриншота выше – установлен именно тот сертификат, который нужен.
3. Последним шагом можем выполнить тестовый вход. Для этого в любом браузере перейдите по следующему пути:
https://sts.itproblog.ru/adfs/ls/idpinitiatedsignon
Здесь мы тоже видим, что сервер AD FS ответил нам с применением корректного сертификата.
Если на данном шаге у вас генерируется ошибка о том, что такого URL не существует, то нужно проверить – включена ли в вашем AD FS страница для тестового входа.
Заключение
В данной публикации мы выполнили замену SSL сертификата на сервер с AD FS, а также замену сертификата для Service Communication.
Затем мы выполнили шаги для проверки – корректно ли установились все необходимые нам сертификаты или нет.