Сертифікати відіграють ключову роль в захисті обміну даними між серверами федерації, проксі веб-додатків, додатків і веб-клієнтів. У цьому розділі описуються кроки, необхідні для отримання і налаштування сертифікатів Secure Sockets Layer (SSL) для служби федерації. Іншими словами термін дії наближається до SSL-сертифіката в існуючій фермі AD FS і ви хочете отримати інший сертифікат і налаштуйте його в якості SSL-сертифіката в фермі AD FS. SSL-сертифікат використовується для захисту обміну даними між серверами федерації і клієнтами. Додаткові відомості див. У розділі «Вимог до сертифікатів» Вимоги до AD FS.
Отриманні новий сертифікат SSL з третій стороні або з центру сертифікації підприємства (ЦС), переконайтеся, що сертифікат має записи альтернативне ім'я суб'єкта типу DNS для кожного з наступних:
Ім'я, таких як служби федерації fs.contoso.com (або відповідний шаблон запис як *. Contoso.com)
При використанні AD FS за допомогою служби реєстрації пристроїв (DRS), додайте додатковий SAN типу DNS для кожного суфікса імені учасника-користувача у вашому середовищі, наприклад enterpriseregistration.contoso.com.
Рекомендується Позначити ключ як експортований, щоб той же сертифікат може бути розгорнутий на кожній федерації сервера і веб-проксі програми в фермі AD FS. Зверніть увагу, що сертифікат повинен бути довіряти (ланцюг до довіреній кореневого ЦС).
В Введіть імена об'єктів введіть nt service \ adfssrv і натисніть кнопку Перевірити імена. Служба повинна повернути ім'я adfssrv. Натисніть кнопку ОК.
Якщо ви використовуєте AD FS з DRS, в Введіть імена об'єктів введіть nt service \ drs і натисніть кнопку Перевірити імена. Ім'я повинно вирішуватися служби DRS. Натисніть кнопку ОК.
Виберіть службу та переконайтеся, що обраний доступ тільки для читання. Натисніть кнопку ОК.
Налаштуйте новий сертифікат SSL для DRS
Під час налаштування служби федерації Active Directory з DRS потім необхідно переконатися, що ваш новий сертифікат SSL для AD FS також правильно налаштований для DRS.
Якщо все правильні імена DRS знаходяться в сертифікаті (додатковий SAN типу DNS для кожного Учасника суфікса у вашому середовищі, наприклад enterpriseregistration.contoso.com), то існують додаткові дії не потрібні для налаштування SSL-сертифіката для DRS. Set-AdfsSslCertificate налаштовано належним чином прив'язок для DRS також.
Переконайтеся, що правильні імена DRS включені в сертифікаті, виконавши команду Get-AdfsDeviceRegistrationUpnSuffix. в якому перераховані всі суфікси UPN, використовуваних в організації і порівняння виведення вмісту SAN сертифіката.
Якщо відсутні будь-які імена необхідно отримати новий сертифікат SSL і повторіть Set-AdfsSslCertificate на кожному сервері федерації і проксі веб-додатки.
Кожен раз, коли виконується, Set-AdfsSslCertificate. не забудьте оновити зв'язку сертифіката служби. Це можна зробити через MMC -> сертифікати -> Налаштування сертифіката взаємодії служб.
Встановити SSL-сертифікат на кожен проксі веб-додатки
Новий сертифікат SSL встановлений на всіх вузлах ферми AD FS, включаючи всі комп'ютери проксі-сервера. Таким чином необхідно встановити новий сертифікат SSL в сховище особистих сертифікатів локального комп'ютера на кожному проксі веб-додатки в фермі AD FS.
Рекомендується використовувати один і той же сертифікат SSL на всіх серверах федерації і веб-додатки комп'ютерами проксі-сервера в фермі AD FS.
Після установки, встановити SSL-сертифікат як сертифікат проксі-сервера служби федерації Active Directory, виконавши наступні команди: Set-WebApplicationProxySslCertificate -Thumbprint