Azure AD – Обновление сертификата AD FS

Обновление сертификата AD FSДля связки AADC + AD FS может потребоваться обновление сертификата федерации. Того самого, который вы подсовывали на этапе настройки фермы AD FS при начальной конфигурации Azure AD Connect.

Процесс этот хорошо документирован на Technet 1. Тем не менее, как это всегда бывает, что-то идет не так – вылезают непонятные ошибки, а документация содержит советы для устаревшей версии визарда AADC.

В этой статье разберем нюансы обновления сертификата, у которого вышел срок действия.


Если вам интересна тематика облачных технологий, рекомендую обратиться к тегу Cloud на моем блоге.


Обновление сертификата AD FS

Хочу отметить, что если сертификат вы обновляете своевременно, то скорее всего не столкнетесь с теми проблемами, которые встретил я. В статье я рассказываю об обновлении сертификата AD FS, у которого вышел срок годности. Сама инфраструктура настраивалась ранее по следующим статьям:

Итак, приступим.

Управление федерацией

Обновлять сертификат AD FS необходимо на стороне AADC, а потому запускаем визард и выбираем пункт Управление федерацией:

Обновление сертификата AD FS - Управление федерацией

Нам нужно Обновление SSL-сертификата AD FS:

Обновление сертификата AD FS - Обновление сертификата

При подключении к Azure AD указываем креды суперадмина:

Обновление сертификата AD FS - Подключение к Azure

А потом подключаемся к ферме серверов AD FS внутри нашей инфраструктуры:

Обновление сертификата AD FS - Подключение к AD FS

Указываем нужные серверы:

Обновление сертификата AD FS - Серверы AD FS

А следом – прокси-серверы WAP:

Обновление сертификата AD FS - Серверы WAP

Следующим шагом необходимо подсунуть сертификат в формате .pfx, введя пароль к закрытому ключу.

Примечание: при получении сертификата у публичных ЦС без изначального предоставления csr-запроса может получиться так, что сертификат вам выдадут двумя файлами – .key и .crt. (собственно, отдельно закрытый и открытый ключи). Чтобы получить из них .pfx, придется их склеить. Например можно это сделать с помощью unix-утилиты openssl.

Если с сертификатом все хорошо, вы успешно перейдете на следующую страницу (а если с сертификатом проблемы, читайте раздел Ошибки ниже):

Обновление сертификата AD FS - Готово к настройке

Можно запускать настройку. Если все завершится успешно, вы увидите страницу:

Обновление сертификата AD FS - Конфигурация завершена

Скажу сразу, что у меня далеко не сразу удалось получить это долгожданное сообщение об успешном окончании. Специально для таких же счастливчиков, как и я, раздел о разборе ошибок внизу.

Проблемы

Разберем проблемы, которые встретились во время выполнения этой простой рутинной процедуры.

Субъект сертификата

Для служб AD FS подойдет далеко не каждый сертификат. Обязательно нужно, чтобы в субъекте было указано имя, которое совпадает с названием службы федерации (и совершенно неважно какие ещё имена будут там присутствовать как дополнительные):

Обновление сертификата AD FS - Субъект сертификата

Иначе при подсовывании файлика .pfx вы получите ошибку на подобии этой:

Обновление сертификата AD FS - Ошибка имени субъекта

Разумеется, единственно верное решение данной проблемы – перевыпустить сертификат или запросить новый, что я и сделал.

Не удается сохранить конфигурацию прокси-сервера

Следующая проблема в плане диагностики несколько сложнее. Заключается она в том, что при попытке сохранить измененные настройки, вы стабильно получите ошибку:

Визуально это выглядит следующим образом (не трудно догадаться, что все застревает на этапе установки нового сертификата на сервере WAP):

Обновление сертификата AD FS - Ошибка обновления сертификата WAP

Это если говорить о настройке фермы через визард AADC, но WAP можно сконфигурировать и напрямую непосредственно на самом сервере 2 3. В нашем случае нужна только замена сертификата. Заходим на сервер WAP и устанавливаем сертификат. При этом нужно обязательно выбрать Расположение хранилища – Локальный компьютер:

Обновление сертификата AD FS - Локальное хранилище

После этого вытащить все данные о сертификатах, включая нужный нам отпечаток, можно командой 4:

Из полученного вывода копируем Thumbprint нужного вам сертификата и вставляем в команду 5:

После выполнения команды сертификат должен замениться, но у меня все равно вылезла ошибка как в начале главы. Полное описание вместе с выводом PS ниже.

Оставался запасной вариант – провести настройку роли WAP с нуля. Проблема в том, что в Консоли управления удаленным доступом нельзя просто так взять и сбросить настройки или запустить конфигурацию заново. Нужны хитрые манипуляции с реестром 6, а именно изменение параметра реестра в значение 1 (not configured):

Только и этот лайфхак не помог. Решила проблему полная переустановка роли Удаленный доступ. Правда есть один нюанс – придется выполнить начальную настройку вручную. Но это несложно – просто указывайте точно те же параметры, которые выбирали при развертывании Azure AD Connect в статье Exchange Hybrid — Установка AADC с AD FS.

Яндекс.Метрика