AD FSのSSL証明書更新

By | 2018年10月14日

オンプレミスのActiveDirectoryとAzureActiveDirectoryをAD FSでフェデレーションしてるのですが、そのためのSSL証明書更新に手間取ったからメモ。

ADFS SSL証明書の更新手順
(1)CSRの作成
①ADFS01(ADFSのプライマリ)がインストールされたサーバーOSのIISでCSRを作成
 CSRの内容(コモンネームや所在地の記述など)はメモしておきましょう。次年度以降も同じ内容でつくるために。

 ☆CSRはtxtなどで保存しておく

②適当な発行機関(さくらのJPRSなど)でSSL証明書を申請
 ・ドメイン認証の場合、認証用ファイルを置くことになるが、
  サーバーのルートディレクトリ=外部からアクセスを受けるIISのルートディレクトリ
  となる

====================================

(2)証明書のインポート
①証明書が発行されたらサーバー証明書*1.crtと、中間証明書*2.crtをダウンロード

②ADFS01(ADFSプライマリ)、ADFS02(ADFSセカンダリ)、WAP01(WebApplicationProxy)などすべてに中間証明書をインポート
 ・mmc.exe
  ファイル→スナップインの追加→証明書(コンピュータアカウント→ローカルコンピュータ)
  中間証明機関→中間証明書*2.crtをインポート

③ADFS01(CSRを作成したサーバー)にサーバー証明書をインポート
 ・IIS→アイコン一覧の「サーバー証明書」→右側メニューで「証明書の要求の完了」
                            →*1.crtを指定

④ADFS01から証明書***.pfxをエクスポート
 ・mmc.exeの個人証明書から秘密鍵つきでエクスポート(*3.pfx)

⑤エクスポートした*3.pfxをADFS02(ADFSセカンダリ)にインポート
⑥エクスポートした*3.pfxをWAP01(WebApplicationProxy)にインポート

====================================

(3)ADFSの証明書更新と切り替え
①ADFS01(プライマリ)でPowerShell起動
 (a) 証明書のThumprintを取得

Get-ChildItem cert:\LocalMachine\My\ | FL

 →Issuar(証明書の発行機関)や有効期限などを参考に、Thumprintを取得

 (b)証明書のバインドの変更と秘密鍵の権限設定

Set-AdfsSslCertificate -Thumbprint 新しい証明書のThumbprint

②ADFS02(セカンダリ)でPowerShell起動
ADFS01と同じThumprintなので(でないといけない)で、(b)と同じコマンドを実行

Set-AdfsSslCertificate -Thumbprint 新しい証明書のThumbprint

③ADFS01(プライマリ)でAD FSのサービス通信証明書を変更

Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint 新しい証明書のThumbprint

④ADFS01のADFSのサービスを再起動

サーバーマネージャのダッシュボードから、adfssrvを再起動

⑤5分待つ←重要

⑥ADFS02のADFSのサービスを再起動

⑦WAP01(WebApplicationProxy)のSSL証明書更新

Set-WebApplicationProxySslCertificate -Thumbprint 新しい証明書のThumnbprint

⑧Web Application Proxy のアプリケーションの設定更新

Get-WebApplicationProxyApplication | Set-WebApplicationProxyApplication -ExternalCertificateThumbprint 新しい証明書のThumnbprint

====================================

(4)スマホなど外部から「https://コモンネーム」にアクセスして、SSL証明書の期限などが変わっているか確認

☆完了☆

参考
(1)(2)証明書の作成は
https://www.cybertrust.ne.jp/sureserver/support/files/iis8.pdf

(3)ADFSサーバーへのインポートや設定変更は

AD FS 3.0におけるSSL証明書更新

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です