Dans ce tutoriel, je vais vous expliquer comment remplacer le certificat SSL sur ADFS (Active Directory Federation Services). Cette opération est nécessaire lors du renouvellement d’un certificat expiré ou proche de l’expiration afin d’assurer la continuité du service d’authentification et de sécuriser les échanges entre les utilisateurs et le serveur ADFS. Nous verrons pas à pas comment importer le nouveau certificat, l’appliquer au service et vérifier que tout fonctionne correctement.
Nous allons voir comment procéder pour le serveur ADFS et le serveur Proxy.
Sommaire
Installer / importer le nouveau certificat
Pour commencer, vous allez avoir besoin d’avoir le nouveau certificat au format PFX avec sa clé privée, celui doit être importer les serveurs dans les certificats ordinateur dans le magasin personnel.
Le certificat installé sur les serveurs, récupérer son empreinte numérique (Thumbprint) qui va être utiliser par la suite dans les commandes PowerShell
Changer le certificat sur le serveur ADFS
On va commencer, par changer le certificat sur le serveur ADFS, ouvrir la console d’administration ADFS, aller dans Service / Certificats et dans le panneau d’Actions, cliquer sur Définir le certificat de communication 1.
Dans la liste des certificats qui s’affiche, sélectionner le nouveau certificat 1 et cliquer sur OK 2 pour le sélectionner.
Ensuite vérifier dans la console ADFS, que celui-ci est bien sélectionné.
Maintenant, ouvrir un invite de commande PowerShell.
Entrer la commande suivante pour définir le certificat sur la liaison HTTPS :
Set-AdfsSslCertificate -Thumbprint <THUMBPRINT-CERTIFICAT>Redémarrer le service ADFS pour la prise en compte :
Restart-Service ADFSSRVLe certificat est changé sur le serveur ADFS, si en interne, vous ne passez pas par le serveur Proxy ADFS, tester le fonctionnement.
Changer le certificat sur le serveur ADFS Proxy
En toute logique, si vous publiez sur Internet votre serveur de fédération, vous le faite à travers un serveur ADFS Proxy (WAP), il faut aussi mettre à jour le certificat sur celui-ci.
A ce stade, vous devez avoir installer le certificat sur le serveur comme expliquer au début.
Ouvrir un invite de commande PowerShell en administrateur.
On va commencer par importer le certificat, entrer la commande suivante :
Set-WebApplicationProxySslCertificate -Thumbprint <THUMBPRINT-CERTIFICAT>L’étape qui va suivre peut ne pas être nécessaire, dans certain cas, il faut rétablir la relation d’approbation entre le serveur Proxy et le serveur ADFS principal, avec le compte administrateur local qui a été créé lors du déploiement de serveur ADFS.
$Credential = Get-Credential
Install-WebApplicationProxy -FederationServiceTrustCredential $Credential -CertificateThumbprint <THUMBPRINT-CERTIFICAT> -FederationServiceName adfs.domain.tldPour finir redémarrer le serveur ADFS Proxy :
Restart-ComputerConclusion
En suivant les étapes de ce tutoriel, vous avez pu remplacer le certificat SSL de votre serveur ADFS en toute sécurité. Cette opération garantit la continuité des authentifications et maintient un niveau de sécurité optimal pour vos utilisateurs. Pensez à surveiller régulièrement la date d’expiration de vos certificats afin d’éviter toute interruption de service.
