En este tutorial, voy a explicaros cómo sustituir el certificado SSL en ADFS (Active DirectoryFederation Services). Esta operación es necesaria al renovar un certificado caducado o a punto de caducar, con el fin de garantizar la continuidad del servicio de autenticación y proteger las comunicaciones entre los usuarios y el servidor ADFS. Veremos paso a paso cómo importar el nuevo certificado, aplicarlo al servicio y comprobar que todo funciona correctamente.
Veremos cómo proceder para el servidor ADFS y el servidor proxy.
Tabla de contenido
Instalar/importar el nuevo certificado
Para empezar, necesitarás disponer del nuevo certificado en formato PFX con su clave privada; este debe importarse a los servidores en los certificados del equipo, dentro del almacén personal.
Una vez instalado el certificado en los servidores, obtenga su huella digital (Thumbprint), que se utilizará posteriormente en los comandos de PowerShell
Cambiar el certificado en el servidor ADFS
Comenzaremos cambiando el certificado en el servidor ADFS: abra la consola de administración de ADFS, vaya a Servicio / Certificados y, en el panel de Acciones, haga clic en Definir certificado de comunicación 1.
En la lista de certificados que se muestra, selecciona el nuevo certificado 1 y haz clic en Aceptar 2 para seleccionarlo.
A continuación, comprueba en la consola de ADFS que está correctamente seleccionado.
Ahora, abra un símbolo del sistema de PowerShell.
Introduzca el siguiente comando para definir el certificado en la conexión HTTPS:
Set-AdfsSslCertificate -Thumbprint <THUMBPRINT-CERTIFICAT>Reinicie el servicio ADFS para que se apliquen los cambios:
Restart-Service ADFSSRVEl certificado se ha cambiado en el servidor ADFS; si internamente no pasa por el servidor proxy ADFS, compruebe que funciona.
Cambiar el certificado en el servidor proxy ADFS
Lógicamente, si publica su servidor de federación en Internet, lo hace a través de un servidor proxy ADFS (WAP), por lo que también debe actualizar el certificado en este.
En este punto, ya debe haber instalado el certificado en el servidor tal y como se explicó al principio.
Abre un símbolo del sistema de PowerShell como administrador.
Vamos a empezar por importar el certificado; introduzca el siguiente comando:
Set-WebApplicationProxySslCertificate -Thumbprint <THUMBPRINT-CERTIFICAT>El paso siguiente puede no ser necesario; en algunos casos, es necesario restablecer la relación de aprobación entre el servidor proxy y el servidor ADFS principal, con la cuenta de administrador local que se creó durante la implementación del servidor ADFS.
$Credential = Get-Credential
Install-WebApplicationProxy -FederationServiceTrustCredential $Credential -CertificateThumbprint <THUMBPRINT-CERTIFICAT> -FederationServiceName adfs.domain.tldPor último, reinicie el servidor proxy ADFS:
Restart-ComputerConclusión
Siguiendo los pasos de este tutorial, ha podido sustituir el certificado SSL de su servidor ADFS de forma segura. Esta operación garantiza la continuidad de las autenticaciones y mantiene un nivel óptimo de seguridad para sus usuarios. Recuerde supervisar periódicamente la fecha de caducidad de sus certificados para evitar cualquier interrupción del servicio.
