1. Objetivo

Este artigo tem por objetivo mostrar como alterar o certificado usado pelo Active Directory Federation Services 3.0 e também no Web Application Proxy - caso este exista no ambiente.

2. Cenário

Vamos imaginar um ambiente com um servidor de aplicação, um servidor com o Active Directory Federation Services 3.0 (fazen do pré-autenticação e sendo usado como base de dados para WAP) e um servidor Web Application Proxy fazendo o proxy reverso de aplicações WEB.

O certificado usado na instalação do AD Federations Services está prestes a vencer e não deverá haver indisponibilidade no acesso.

3. Alterando certificado no Active Directory Federation Services

O administrador deverá copiar o certificado e instalar o mesmo no servidor.

Para proceder a atualização do certificado no AD Federation Services, use os seguintes comandos Power Shell abaixo:

Para coletar informações acerca do novo certificado:

Get-ChildItem -Path cert:\LocalMachine\my | FL FriendlyName, Thumbprint, Subject, NotBefore, NotAfter

Com esta linha de comando, você verá os certificados instalados na máquina com informações de "Friendly Name", o numero do Thumbprint, Subject e as datas de inicio e fim da validade do certificado.

Nesta informações o administrador irá visualizar os dados do novo certificado instalado. Copie o número do Thumprint e faça a substituição do certificado com o comando abaixo:

Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint thumbprint#

O comando acima alterou o certificado do Service-Communications do AD Federation Services. Agora o administrador precisa executar o comando Power Shell Abaixo para alterar o certificado para todo o AD FS:

Set-AdfsSslCertificate -Thumbprint thumbprint#

Em seguida reinicie o serviço do AD Federation Services com o comando - Restart-Service adfssrv

Para verificar se o seu servidor AD Federation Services está operando com o novo certificado, use os comandos power shell abaixo:

Get-AdfsCertificate







Get-AdfsSslCertificate

A imagem abaixo mostra o procedimento na prática:

4. Alterando o certificado no servidor do Web Application Proxy

Como destacado no item 2 deste artigo, o cenário diz que, além do servidor do AD Federation Services, temos um outro fazendo o proxy reverso com o Web Application Proxy. Como o WAP usa o AD FS como pre-autenticação e base de dados, é imprescindível com o certificado do AD FS esteja corretamente instalado no WAP.

Devido a mudança executada no item 3 deste artigo, o WAP passará a não mais enxergar as publicações criadas, pois, não terá mais comunicação com o AD FS.

Para que essa comunicação seja restabelecida, é necessário exportar o novo certificado do servidor AD Federation Services para o servidor do Web Application Proxy. Em seguida o administrador deve utilizar o seguinte comando Power Shell:

Set-WebApplicationProxySslCertificate -Thumbprint thumbprint#

Após aplicação deste comando, efetue um restart no serviço do Web Application Proxy - Restart-Service adfssrv

A figura abaixo mostra na prática como irá funcionar:

5. Porque não usar a interface gráfica

O processo de alteração do certificado no AD Federation Services deve ser feito exclusivamente pelo Power Shell. O mesmo pode até ser feito pela interface gráfica do produto, entretanto as informações não são validadas porque não ocorre a alteração das mesmas no arquivo http.sys (arquivo responsável por armazenas os dados de certificado).

Portanto é requerido o uso do Power Shell para este tipo de trabalho.

A verão, 2016 do Windows deve ter esse problema resolvido e fazer as alterações totais via Interface gráfico.

6. Conclusão

Este artigo mostrou o procedimento para alterar o certificado vencido ou prestes a vencer, no Windows Server 2012 R2 que tem instalados e Active Directory Federation Serives 3.0 e no Web Application Proxy.