Per la sostituzione certificato SSL del Server AD FS in ambiente Office 365, è necessario effettuare alcune operazioni per ristabilire la corretta funzionalità.
Quando il certificato SSL scade, il processo di autenticazione in Office 365 non funziona più impedendo l'accesso all'applicazione web e gli utenti non sono più in grado di accedere alle loro email. La sostituzione del certificato SSL è l'unica soluzione per ripristinare la funzionalità del servizio.
Sostituzione del certificato SSL nel Server AD FS
Per effettuare l'operazione di richiesta del certificato SSL per AD FS, consultare questa guida dettagliata.
Logarsi nel Server AD FS e dalla Certificates Management Console importare nel server il nuovo certificato salvandolo nello store dei certificati Personal. Effettuare un click con il tasto destro del mouse sulla voce Certificates e selezionare l'opzione All Tasks > Import.
Selezionare il nuovo certificato SSL signed ricevuto dalla CA e cliccare su Next.
Quando il certificato è stato correttamente importato, cliccare su OK per chiudere la finestra.
Assicurarsi che al service account utilizzato per eseguire il servizio AD FS sia stato assegnato il permesso di read access alla chiave privata. Effettuare un click con il tasto destro del mouse sul nuovo certificato e selezionare All Tasks > Manage Private Keys.
Assegnare il permesso di lettura al service account utilizzato per far girare il servizio AD FS e cliccare su OK.
Esportare il nuovo certificato includendo la chiave privata e copiarlo nel Server WAP. Per esportare, selezionare la voce Certificates ed effettuare un click con il tasto destro del mouse sul nuovo certificato selezionando l'opzione All Tasks > Export.
Specificare l'opzione Yes, export the private key e cliccare su Next.
Lanciare l'AD FS Management Console, espandere la voce Service nel lato sinistro e cliccare su Certificates. Sotto la voce Service communications il certificato è indicato come scaduto. Cliccare sul link Set Service Communications Certificate per impostare il nuovo certificato.
Il sistema presenta tutti i certificati installati. Selezionare il certificato valido e cliccare su OK.
Cliccare su OK per chiudere il messaggio visualizzato. L'Exipration Date del certificato sotto la voce Service communications viene aggiornata.
Riavviare il servizio AD FS.
Le modifiche fatte nella GUI non cambiano la configurazione impostata nell'HTTP.sys. Per completare la configurazione, è necessaio identificare innanzitutto il thumbprint del certificato ed eseguire poi un comando PowerShell. Effettuare un click con il tasto destro del mouse sul nuovo certificato SSL importato e selezionare Open.
Selezionare la sezione Details, identificare il Thumbprint per il nuovo certificato ed annotarlo rimuovendo lo spazio.
In questo esempio il valore è e8fd5016542796214e94f72d76095f9fc587c731.
Dalla PowerShell eseguire il comando:
Set-AdfsSslCertificate –Thumbprint <ThumbprintCertificate>
PS C:\> Set-AdfsSslCertificate –Thumbprint e8fd5016542796214e94f72d76095f9fc587c731
Il comando viene eseguito.
Riavviare il server o il servizio AD FS nel server per completare le modifiche nella configurazione.
Importare il nuovo certificato nel Server WAP
Logarsi nel Server WAP ed importare il nuovo certificato precedentemente copiato dal Server AD FS (consultare questa guida per ulteriori dettagli). Aprire la Certificate Management Console, effettuare un click con il tasto destro del mouse sulla voce Certificates e selezionare l'opzione All Tasks > Import.
Il nuovo certificato è stato importato correttamente.
Aprire la PowerShell ed eseguire il seguente comando per cambiare il certificato:
Set-WebApplicationProxySslCertificate –Thumbprint <ThumbprintCertificate>
PS C:\> Set-WebApplicationProxySslCertificate –Thumbprint e8fd5016542796214e94f72d76095f9fc587c731
Il comando è stato eseguito.
Un ulteriore passaggio non documentato in maniera chiara è richiesto per completare l'intera procedura. Verificando il WAP Application certificate, l'ExternalCertificateThumbprint punta ancora sul vecchio Thumbprint. Poichè sarà richiesto successivamente, annotare il valore del campo ID.
PS C:\> Get-WebApplicationProxyApplication | fl
Verificando attentamente il certificato AD FS dal Server AD FS, è possibile notare che l'AD FS Thumbprint è diverso dal WAP External Certificate.
PS C:\> Get-AdfsSslCertificate
Per aggiornare anche il WAP Application certificate, dalla PowerShell del Server WAP eseguire il comando:
Set-WebApplicationProxyApplication –ExternalCertificateThumbprint <ThumbprintCertificate>
PS C:\> Set-WebApplicationProxyApplication –ExternalCertificateThumbprint e8fd5016542796214e94f72d76095f9fc587c731
Il valore richiesto ID si ottiene eseguendo il comando Get-WebApplicationProxyApplication | fl (come fatto in precedenza). Semplicemente va effettuato un copia e incolla del codice.
Controllando il WAP Application certificate nuovamente, l'External Certificate ora indica il corretto Thumbprint.
PS C:\> Get-WebApplicationProxyApplication | fl
Quando i certificati AD FS vengono aggiornati manualmente, è necessario aggiornare anche il dominio Office 365. Accedendo all'Event Viewer nel server AD FS è possibile notare che il certificato sta puntando ad un Thumbprint non corretto dovuto ai certificati non aggiornati nel dominio Office 365.
Aggiornare manualmente i certificati AD FS
Per aggiornare il dominio Office 365 bisogna utilizzare il comando PowerShell. Eseguire il seguente comando inserendo le credenziali dell'account Administrator del servizio cloud per accedere al servizio cloud:
PS C:\ $cred=Get-Credential
Effettuare la connessione al servizio cloud.
PS C:\ Connect-MsolService –Credential $cred
Eseguire il seguente comando per verificare la firma dei certificati correnti in AD FS:
PS C:\ Get-ADFSCertificate –CertificateType token-signing
Nell'esempio, il Thumbprint visualizzato è associato ad un certificato scaduto. Per generare un nuovo certificato eseguire il comando:
PS C:\> Update-ADFSCertificate –CertificateType token-signing
Verificare l'aggiornamento controllando se il certificato è stato creato.
PS C:> Get-ADFSCertificate –CertificateType token-signing
Un certificato primario e secondario sono stati creati con nuovi valori del Thumbprint. Nell'AD FS Management Console i nuovi certificati sono visualizzati sotto la voce Token-signing.
Mentre l'autenticazione AD FS locale torna a funzionare nuovamente, tentando di connettersi a Office 365 l'accesso all'applicazione web non può essere completata. Guardando nell'Event Viewer, il Server WAP non è in grado di contattare il Server AD FS.
Il Server AD FS indica che non è possibile per il Server WAP effettuare l'autenticazione.
Questa situazione si verifica quando la relazione di trust tra i server AD FS e WAP si interrompe.
Ristabilire la trust tra WAP e AD FS
Dal Server WAP, recuperare la lista dei certificati installati tramite il comando:
PS C:\ Get-ChildItem -path cert:\LocalMachine\My
L'errore visualizzato nell'Event Viewer riporta che il certificato trusted inizia con il Thumbprint BB59AB2 mentre il certificato importato inizia con 369083A.
Per ristabilire la trust tra AD FS e WAP, nel Server WAP eseguire il seguente comando inserendo le credenziali dell'account local Domain Administrator (es. NOLABNOPARTY\Administrator):
Install-WebApplicationProxy -CertificateThumbprint <ThumbprintCertificate> -FederationServiceName <sts.domain.com>
PS C:\ Install-WebApplicationProxy -CertificateThumbprint e8fd5016542796214e94f72d76095f9fc587c731 -FederationServiceName sts.nolabnoparty.com
La configurazione viene effettuata nel sistema.
Quando il processo viene completato, il sistema visualizza il messaggio DeploymentSucceded.
Sotto la voce Token-decrypting, l'Expiration Date del certificato è ora indicata come valida.
La trust tra WAP e AD FS è stata ripristinata come confermato nell'Event Viewer.
L'accesso al dominio Office 365 è ora completamente operativo e gli utenti possono accedere nuovamente alle proprie email. Da tenere a mente la verifica periodica della data di scadenza dei certificati installati per evitare interruzioni del servizio.

















































