Mettre à jour le certificat TLS/SSL pour une batterie de serveurs Active Directory Federation Services (AD FS)
Vue d’ensemble
Cet article décrit comment utiliser Microsoft Entra Connect pour mettre à jour le certificat TLS/SSL pour une batterie de serveurs Active Directory Federation Services (AD FS). Vous pouvez utiliser l'outil Microsoft Entra Connect pour mettre à jour facilement le certificat TLS/SSL de la batterie AD FS même si la méthode de connexion utilisateur sélectionnée n'est pas AD FS.
Vous pouvez effectuer l’intégralité de l’opération de mise à jour du certificat TLS/SSL pour la batterie de serveurs AD FS sur l’ensemble des serveurs proxy d’application web et de fédération en trois étapes simples :
Remarque
Pour en savoir plus sur les certificats utilisés par AD FS, consultez l’article Présentation des certificats utilisés par les services ADFS (Active Directory Federation Services).
Prérequis
- Batterie de serveurs AD FS : Assurez-vous que votre batterie AD FS est basée sur Windows Server 2012 R2 ou version ultérieure.
- Microsoft Entra Connect : Assurez-vous que la version de Microsoft Entra Connect est 1.1.553.0 ou supérieure. Vous utiliserez la tâche Mettre à jour le certificat SSL AD FS.
Étape 1 : Fournir les informations sur la batterie de serveurs AD FS
Microsoft Entra Connect tente d'obtenir automatiquement des informations sur la batterie de serveurs AD FS en :
- Interrogez les informations de la batterie à partir d’AD FS (Windows Server 2016 ou version ultérieure).
- Référencement des informations des exécutions précédentes, qui sont stockées localement avec Microsoft Entra Connect.
Vous pouvez modifier la liste des serveurs affichés en ajoutant ou en supprimant des serveurs afin de refléter la configuration actuelle de la batterie de serveurs AD FS. Dès que les informations sur le serveur sont fournies, Microsoft Entra Connect affiche la connectivité et l'état actuel du certificat TLS/SSL.
Si la liste contient un serveur qui ne fait plus partie de la batterie de serveurs AD FS, cliquez sur Supprimer pour le supprimer de la liste des serveurs de votre batterie de serveurs AD FS.
Remarque
La suppression d'un serveur de la liste des serveurs d'une batterie de serveurs AD FS dans Microsoft Entra Connect est une opération locale qui met à jour les informations de la batterie de serveurs AD FS gérée localement par Microsoft Entra Connect. Microsoft Entra Connect ne modifie pas la configuration sur AD FS pour refléter le changement.
Étape 2 : fournir un nouveau certificat TLS/SSL
Après avoir confirmé les informations sur les serveurs de batterie AD FS, Microsoft Entra Connect demande le nouveau certificat TLS/SSL. Fournissez un certificat PFX protégé par mot de passe pour poursuivre l’installation.
Après avoir fourni le certificat, Microsoft Entra Connect passe par une série de conditions préalables. Vérifiez le certificat pour vous assurer qu’il est correct pour la batterie de serveurs AD FS :
- Le nom de sujet/l’autre nom de sujet du certificat est identique au nom du service de fédération ou est un certificat à caractères génériques.
- Le certificat est valide pendant plus de 30 jours.
- La chaîne d’approbation du certificat est valide.
- Le certificat est protégé par un mot de passe.
Étape 3 : Sélectionner les serveurs concernés par la mise à jour
Dans l’étape suivante, sélectionnez les serveurs qui ont besoin d’une mise à jour du certificat TLS/SSL. Il est impossible de sélectionner les serveurs qui sont hors connexion pour la mise à jour.
Une fois la configuration terminée, Microsoft Entra Connect affiche le message indiquant l'état de la mise à jour et propose une option pour vérifier la connexion AD FS.
FAQ
Quel doit être le nom de l’objet du nouveau certificat TLS/SSL AD FS ?
Microsoft Entra Connect vérifie si le nom du sujet/autre nom du sujet du certificat contient le nom du service de fédération. Par exemple, si le nom de votre service de fédération est fs.contoso.com, le nom de sujet/l’autre nom de sujet doit être fs.contoso.com. Les certificats à caractères génériques sont également acceptés.
Pourquoi le système me redemande mes informations d’identification dans la page du serveur WAP ?
Si les informations d'identification que vous fournissez pour la connexion aux serveurs AD FS ne disposent pas également du privilège de gestion des serveurs WAP, Microsoft Entra Connect demande des informations d'identification disposant de privilèges administratifs sur les serveurs WAP.
Le serveur est indiqué comme étant hors connexion. Que dois-je faire ?
Microsoft Entra Connect ne peut effectuer aucune opération si le serveur est hors ligne. Si le serveur fait partie de la batterie de serveurs AD FS, vérifiez la connectivité au serveur. Une fois que vous avez résolu le problème, appuyez sur l’icône d’actualisation pour mettre à jour l’état de l’assistant. Si le serveur faisait auparavant partie de la batterie de serveurs mais n'existe plus, cliquez sur Supprimer pour le supprimer de la liste des serveurs gérés par Microsoft Entra Connect. La suppression du serveur de la liste dans Microsoft Entra Connect ne modifie pas la configuration AD FS elle-même. Si vous utilisez AD FS dans Windows Server 2016 ou une version ultérieure, le serveur reste dans les paramètres de configuration et s’affiche à nouveau la prochaine fois que la tâche est exécutée.
Puis-je mettre à jour une partie des serveurs de ma batterie de serveurs avec le nouveau certificat TLS/SSL ?
Oui. Vous pouvez toujours exécuter la tâche Mettre à jour le certificat SSL pour mettre à jour les serveurs restants. Sur la page Sélectionner des serveurs pour la mise à jour du certificat SSL, vous pouvez trier la liste des serveurs sur Date d’expiration SSL pour accéder facilement aux serveurs qui ne sont pas encore mis à jour.
J’ai supprimé le serveur lors de l’exécution précédente, mais il est toujours affiché comme étant hors connexion et listé dans la page Serveurs AD FS. Pourquoi le serveur hors connexion est-il toujours affiché même après sa suppression ?
La suppression du serveur de la liste dans Microsoft Entra Connect ne le supprime pas dans la configuration AD FS. Microsoft Entra Connect fait référence à AD FS (Windows Server 2016 ou version ultérieure) pour toute information sur la batterie de serveurs. Si le serveur est toujours présent dans la configuration AD FS, il sera répertorié dans la liste.