{"id":2961,"date":"2015-10-28T16:47:26","date_gmt":"2015-10-28T19:47:26","guid":{"rendered":"http:\/\/www.radians.com.ar\/blog\/?p=2961"},"modified":"2018-01-16T15:55:29","modified_gmt":"2018-01-16T18:55:29","slug":"adfs-3-0-reemplazando-nuestros-certificados-en-windows-server-2012-r2-howto","status":"publish","type":"post","link":"https:\/\/www.radians.com.ar\/blog\/?p=2961","title":{"rendered":"ADFS 3.0, reemplazando nuestros certificados en Windows Server 2012 R2 {HowTo}"},"content":{"rendered":"

\"www.radians.com.ar\"<\/a> Hoy vamos a ver como es el procedimiento para reemplazar los certificados en nuestra arquitectura ADFS 3.0; esto suele ocurrir cuando los certificados han expirado o est\u00e1n pr\u00f3ximos a dicha fecha.<\/p>\n

Veremos como hacerlo, primero debemos abrir la consola ADFS. Luego debemos agregar el nuevo certificado en el servidor, asegur\u00e1ndonos de que este se a\u00f1ade al almac\u00e9n de certificados personales de la cuenta de equipo. Podemos hacerlo utilizando la consola MMC y su complemento de certificados.<\/p>\n

Debemos buscar el ThumbPrint del nuevo certicado, y podemos hacerlo buscando los detalles del mismo. Este ThumbPrint (huella digital) esta por lo general en la parte inferior de la lista de detalles para el certificado y se compone de 40 caracteres hexadecimales.<\/p>\n

\"www.radians.com.ar\"<\/a> <\/p>\n

Tambi\u00e9n podemos realizar con PowerShell con el comando: Get-AdfsSslCertificate<\/font>. <\/p>\n

Tengamos una copia de este valor, eliminando los espacios en blanco. Ahora debemos asignarle a la cuenta de servicio que se est\u00e1 ejecutando el servicio \u201cActive Directory Federation Services<\/font><\/font>\u201d acceso de lectura a la clave privada. Para hacer esto, debemos hacer lo siguiente:<\/p>\n

Dentro de la MMC de los certificados, hacemos un clic con el bot\u00f3n derecho en el certificado, y seleccionamos \u201cAll Taks<\/font>\u201c y seleccionamos \u201cManage Private Keys\u2026<\/font>\u201d:
\"www.radians.com.ar\"<\/a>Hacemos clic en ‘Add …<\/font>‘ para agregar la cuenta de usuario que ejecuta el servicio de AD FS en el servidor, la cual tiene los permisos de acceso de lectura. <\/p>\n

\"www.radians.com.ar\"<\/a> Luego hacemos un clic en OK, y aceptamos para cerrar esta ventana.<\/p>\n

Ejecutamos la consola AD FS Management Console y expandimos: AD FS \/ Servoce \/ Certificates<\/font><\/p>\n

 \"www.radians.com.ar\"<\/a>
Hacemos clic en ‘Set Service Communications Certificate\u2026’ que se encuentra en el Acton Panel en la esquina superior derecha. <\/p>\n

\"www.radians.com.ar\"<\/a> <\/p>\n

Aparecera un cuadro de dialogo en donde se muestra los certificados disponibles en el servidor. Seleccionamos el nuevo certificado que se va a utilizar. Si no estamos seguros del certificado correcto, seleccionamos cada certificado de a uno a la vez y hacemos clic en Click here to view certificate properties<\/font><\/font>‘ para ver las propiedades y comparar la huella digital con la que tomamos nota anteriormente.<\/p>\n

Si en el momento de reiniciar el servidor o el servicio ADFS y realizar la conexi\u00f3n con el ADFS notamos que estamos utilizando todav\u00eda el viejo certificado. El cambio en la interfaz gr\u00e1fica de usuario cambia la configuraci\u00f3n en la base de datos de configuraci\u00f3n de AD FS, pero no el certificado unido a HTTP.sys.<\/p>\n

Para completar el cambio de configuraci\u00f3n, debemos ejecutar el siguiente comando PowerShell:
Set-AdfsSslCertificate \u2013Thumbprint <\/font><\/font>a0c4e7540d61098358a081ed2d412cdbf668a46e<\/font> <\/font><\/p>\n

D\u00f3nde a0c4e7540d61098358a081ed2d412cdbf668a46e<\/font> debe sustituirse con la huella digital que guardamos anteriormente, y ahora si podemos reiniciamos e el servidor, o el servicio de AD FS en el servidor para completar el cambio de configuraci\u00f3n.<\/p>\n

Para nuestro servidor Web necesitamos adem\u00e1s agregar el certificado a nuestro WAP. Debemos verificar que el certificado se encuentre en el almac\u00e9n de certificados personales de la cuenta de equipo; y luego ejecutamos el siguiente comando PowerShell:<\/p>\n

Set-WebApplicationProxySslCedrtificate \u2013Thumbprint a0c4e7540d61098358a081ed2d412cdbf668a46e<\/font><\/p>\n

D\u00f3nde a0c4e7540d61098358a081ed2d412cdbf668a46e<\/font> debe sustituirse con la huella digital que guardamos anteriormente.<\/p>\n

Todas las reglas de publicaci\u00f3n necesitan ser actualizada con la nueva huella digital del nuevo certificado. Esto se puede hacer ya sea por la eliminaci\u00f3n de las viejas reglas y recre\u00e1ndolas con la nueva huella digital del certificado:<\/p>\n

Get-WebApplicationProxyApplication \u2013Name \u201cWebAppPublishingRuleName\u201d | Set-WebApplicationProxyApplication \u2013ExternalCertificateThumbprint \u201ca0c4e7540d61098358a081ed2d412cdbf668a46e\u201d<\/font><\/p>\n

D\u00f3nde a0c4e7540d61098358a081ed2d412cdbf668a46e<\/font> debe sustituirse con la huella digital que guardamos anteriormente, y \u201c’WebAppPublishingRuleName<\/font>\u201d debe sustituirse por el nombre de la regla, tal como se muestra en la consola de acceso remoto.<\/p>\n

Recordemos que debemos reiniciar el servidor o los servicios de ADFS y proxy de aplicaciones Web para completar la configuraci\u00f3n.<\/p>\n

En resumen:<\/p>\n