Обновление сертификатов Active Directory Federation Services

Обновление сертификатов Active Directory Federation Services

В данной публикации будет рассмотрена процедура обновление сертификата для Active Directory Federation Services.

Под процедурой обновления необходимо понимать процесс установки уже выпущенного сертификата взамен имеющегося.

Выпуск сертификата


В данной публикации не будет рассматриваться непосредственно процесс выпуска сертификата. В данном случае, сертификат уже был выпущен.

Имя нашего выпускаемого сертификата: *.itproblog.ru.

Формат – PFX файл.

Установка сертификата в хранилище сертификатов компьютера

После того, как сертификат был выпущен его необходимо установить в локальное хранилище сертификатов компьютера. Для этого выполним импорт сертификата:

1. Запустим мастер импорта и выберем локальное хранилище компьютера:

2. Укажем путь до файла с сертификатом:

3. Укажем пароль к PFX файлу и скажем, что мы сделаем закрытый ключ экспортируемым:

4. Выберем опцию автоматического определения контейнера в хранилище сертификатов компьютера. В таком случае сертификат импортируется в контейнер “Personal“. Это именно то, что нам нужно:

5. Завершим процедуру импорта:

6. В случае успешного импорта мастер импорта сертификата сообщит нам об этом:

Так же мы увидим сертификат в контейнере “Личное” локального хранилища сертификатов компьютера:

Изменение SSL сертификата в конфигурации

Далее необходимо изменить сертификат в конфигурации AD FS.

Для этого необходимо знать отпечаток нашего нового сертификата:

Изменим SSL сертификат в конфигурации AD FS:

Set-AdfsSslCertificate –Thumbprint 62ae53ebc1efc7e9db916fced37d1e5840b7acf9

Выбор нового сертификата взаимодействия между сервисами (Service Communication Certificate)

После импорта нужного сертификата в консоли администрирования AD FS необходимо указать, что для взаимодействия между сервисами необходимо использовать именно этот сертификат:

1. Запустим оснастку управления AD FS (AD FS Management) и перейдем в узел управления сертификатами:

2. Справа в меню действий выбираем пункт “Set Service Communication Certificare…”.

3. В появившемся диалоговом окне необходимо выбрать актуальный сертификат и нажать “OK”.

Проверка корректности установки новых сертификатов

Проверить корректно ли установились все необходимые сертификаты или нет можно указанным ниже способом.

  1. Сначала проверим – корректно ли установился SSL сертификат:
Get-AdfsSslCertificate

Мы видим, что отпечаток сертификата соответствует тому сертификату, который установили ранее, т.е. SSL сертификат установился корректно.

2. Далее проверим сертификат (Service Communication):

 Get-AdfsCertificate -CertificateType Service-Communications

Как видно из скриншота выше – установлен именно тот сертификат, который нужен.

3. Последним шагом можем выполнить тестовый вход. Для этого в любом браузере перейдите по следующему пути:

https://sts.itproblog.ru/adfs/ls/idpinitiatedsignon

Здесь мы тоже видим, что сервер AD FS ответил нам с применением корректного сертификата.

Если на данном шаге у вас генерируется ошибка о том, что такого URL не существует, то нужно проверить – включена ли в вашем AD FS страница для тестового входа.

Заключение

В данной публикации мы выполнили замену SSL сертификата на сервер с AD FS, а также замену сертификата для Service Communication.

Затем мы выполнили шаги для проверки – корректно ли установились все необходимые нам сертификаты или нет.