ADFS 3.0: sostituzione certificato SSL

adfsreplacessl01

Per la sostituzione del certificato SSL per il Server AD FS in ambiente Office 365, è necessario effettuare alcune operazioni per ristabilire la corretta funzionalità.

Quando il certificato SSL scade, il processo di autenticazione in Office 365 non funziona più impedendo l’accesso all’applicazione web e gli utenti non sono più in grado di accedere alle loro email. La sostituzione del certificato SSL è l’unica soluzione per ripristinare la funzionalità del servizio.

 

Importare il nuovo certificato nel server AD FS

Per effettuare l’operazione di richiesta del certificato SSL per AD FS, consultare questa guida dettagliata.

Logarsi nel server AD FS e dalla Certificates Management Console importare nel server il nuovo certificato salvandolo nello store dei certificati Personal. Effettuare un click con il tasto destro del mouse sulla voce Certificates e selezionare l’opzione All Tasks > Import.

adfsreplacessl02

Selezionare il nuovo certificato SSL signed ricevuto dalla CA e cliccare su Next.

adfsreplacessl03

Quando il certificato è stato correttamente importato, cliccare su OK per chiudere la finestra.

adfsreplacessl04

Assicurarsi che al service account utilizzato per eseguire il servizio AD FS sia stato assegnato il permesso di read access alla chiave privata. Effettuare un click con il tasto destro del mouse sul nuovo certificato e selezionare All Tasks > Manage Private Keys.

adfsreplacessl05

Assegnare il permesso di lettura al service account utilizzato per far girare il servizio AD FS e cliccare su OK.

adfsreplacessl06

Esportare il nuovo certificato includendo la chiave privata e copiarlo nel server WAP. Per esportare, selezionare la voce Certificates ed effettuare un click con il tasto destro del mouse sul nuovo certificato selezionando l’opzione All Tasks > Export.

adfsreplacessl07

Specificare l’opzione Yes, export the private key e cliccare su Next.

adfsreplacessl08

Lanciare l’AD FS Management Console, espandere la voce Service nel lato sinistro e cliccare su Certificates. Sotto la voce Service communications il certificato è indicato come scaduto. Cliccare sul link Set Service Communications Certificate per impostare il nuovo certificato.

adfsreplacessl09

Il sistema presenta tutti i certificati installati. Selezionare il certificato valido e cliccare su OK.

adfsreplacessl10

Cliccare su OK per chiudere il messaggio visualizzato. L’Exipration Date del certificato sotto la voce Service communications viene aggiornata.

adfsreplacessl11

Riavviare il servizio AD FS.

adfsreplacessl12

Le modifiche fatte nella GUI non cambiano la configurazione impostata nell’HTTP.sys. Per completare la configurazione, è necessaio identificare innanzitutto il thumbprint del certificato ed eseguire poi un comando PowerShell. Effettuare un click con il tasto destro del mouse sul nuovo certificato SSL importato e selezionare Open.

adfsreplacessl13

Selezionare la sezione Details, identificare il Thumbprint per il nuovo certificato ed annotarlo rimuovendo lo spazio.

adfsreplacessl14

In questo esempio il valore è e8fd5016542796214e94f72d76095f9fc587c731.

Dalla PowerShell eseguire il comando:

Set-AdfsSslCertificate –Thumbprint <ThumbprintCertificate>

PS C:\> Set-AdfsSslCertificate –Thumbprint e8fd5016542796214e94f72d76095f9fc587c731

adfsreplacessl15

Il comando viene eseguito.

adfsreplacessl16

Riavviare il server o il servizio AD FS nel server per completare le modifiche nella configurazione.

adfsreplacessl17

 

Importare il nuovo certificato nel server WAP

Logarsi nel server WAP ed importare il nuovo certificato precedentemente copiato dal server AD FS (consultare questa guida per ulteriori dettagli). Aprire la Certificate Management Console, effettuare un click con il tasto destro del mouse sulla voce Certificates e selezionare l’opzione All Tasks > Import.

adfsreplacessl18

Il nuovo certificato è stato importato correttamente.

adfsreplacessl19

Aprire la PowerShell ed eseguire il seguente comando per cambiare il certificato:

Set-WebApplicationProxySslCertificate –Thumbprint <ThumbprintCertificate>

PS C:\> Set-WebApplicationProxySslCertificate –Thumbprint e8fd5016542796214e94f72d76095f9fc587c731

adfsreplacessl20

Il comando è stato eseguito.

adfsreplacessl21

Un ulteriore passaggio non documentato in maniera chiara è richiesto per completare l’intera procedura. Verificando il WAP Application certificate, l’External Certificate punta ancora sul vecchio Thumbprint.

PS C:\> Get-WebApplicationProxyApplication | fl

adfsreplacessl21a

Verificando attentamente il certificato ADFS, è possibile notare che l’ADFS Thumbprint è diverso dal WAP External Certificate.

PS C:\> Get-AdfsSslCertificate

adfsreplacessl21b

Per aggiornare anche il WAP Application certificate, da PowerShell eseguire il comando:

Set-WebApplicationProxyApplication –ExternalCertificateThumbprint <ThumbprintCertificate>

PS C:\> Set-WebApplicationProxyApplication –ExternalCertificateThumbprint e8fd5016542796214e94f72d76095f9fc587c731

adfsreplacessl21c

Controllando il WAP Application certificate nuovamente, l’External Certificate ora indica il corretto Thumbprint.

PS C:\> Get-WebApplicationProxyApplication | fl

adfsreplacessl21d

Quando i certificati AD FS vengono aggiornati manualmente, è necessario aggiornare anche il dominio Office 365. Accedendo all’Event Viewer nel server AD FS è possibile notare che il certificato sta puntando ad un Thumbprint non corretto dovuto ai certificati non aggiornati nel dominio Office 365.

adfsreplacessl22

 

Aggiornare manualmente i certificati AD FS

Per aggiornare il dominio Office 365 bisogna utilizzare il comando PowerShell. Eseguire il seguente comando inserendo le credenziali dell’account Administrator del servizio cloud per accedere al servizio cloud:

PS C:\ $cred=Get-Credential

adfsreplacessl23

Effettuare la connessione al servizio cloud.

PS C:\ Connect-MsolService –Credential $cred

adfsreplacessl24

Eseguire il seguente comando per verificare la firma dei certificati correnti in AD FS:

PS C:\ Get-ADFSCertificate –CertificateType token-signing

adfsreplacessl25

Nell’esempio, il Thumbprint visualizzato è associato ad un certificato scaduto. Per generare un nuovo certificato eseguire il comando:

PS C:\> Update-ADFSCertificate –CertificateType token-signing

adfsreplacessl26

Verificare l’aggiornamento controllando se il certificato è stato creato.

PS C:> Get-ADFSCertificate –CertificateType token-signing

adfsreplacessl27

Un certificato primario e secondario sono stati creati con nuovi valori del Thumbprint. Nell’AD FS Management Console i nuovi certificati sono visualizzati sotto la voce Token-signing.

adfsreplacessl28

Mentre l’autenticazione AD FS locale torna a funzionare nuovamente, tentando di connettersi a Office 365 l’accesso all’applicazione web non può essere completata. Guardando nell’Event Viewer, il server WAP non è in grado di contattare il server AD FS.

adfsreplacessl29

Il server AD FS indica che non è possibile per il server WAP effettuare l’autenticazione.

adfsreplacessl30

Questa situazione si verifica quando la relazione di trust tra i server AD FS e WAP si interrompe.

 

Ristabilire la trust tra WAP e AD FS

Dal server WAP, recuperare la lista dei certificati installati tramite il comando:

PS C:\ Get-ChildItem -path cert:\LocalMachine\My

adfsreplacessl31

L’errore visualizzato nell’Event Viewer riporta che il certificato trusted inizia con il Thumbprint BB59AB2 mentre il certificato importato inizia con 369083A.

Per ristabilire la trust tra AD FS e WAP, nel server WAP eseguire il seguente comando inserendo le credenziali dell’account local Domain Administrator (es. NOLABNOPARTY\Administrator):

Install-WebApplicationProxy -CertificateThumbprint <ThumbprintCertificate> -FederationServiceName <sts.domain.com>

PS C:\ Install-WebApplicationProxy -CertificateThumbprint e8fd5016542796214e94f72d76095f9fc587c731 -FederationServiceName sts.nolabnoparty.com

adfsreplacessl32

La configurazione viene effettuata nel sistema.

adfsreplacessl33

Quando il processo viene completato, il sistema visualizza il messaggio DeploymentSucceded.

adfsreplacessl34

Sotto la voce Token-decrypting, l’Expiration Date del certificato è ora indicata come valida.

adfsreplacessl35

La trust tra WAP e AD FS è stata ripristinata come confermato nell’Event Viewer.

adfsreplacessl36

L’accesso al dominio Office 365 è ora completamente operativo e gli utenti possono accedere nuovamente alle proprie email. Da tenere a mente la verifica periodica della data di scadenza dei certificati installati per evitare interruzioni del servizio.

firma

Leave a Reply