Cómo cambiar el certificado de comunicaciones de servicio de AD FS 2.0 después de que expire

  • Artículo

En este artículo se proporcionan los pasos para cambiar el certificado de comunicaciones del servicio Servicios de federación de Active Directory (AD FS) 2.0.

Se aplica a: Windows Server 2008 R2 Service Pack 1
Número de KB original: 2921805

Síntomas

Un usuario quiere saber cómo cambiar el certificado de comunicaciones del servicio Servicios de federación de Active Directory (AD FS) (AD FS) 2.0 después de que expire o por otros motivos.

Solución

Reemplazar un certificado de servicio de servidor de AD FS 2.0 existente es un proceso de varios pasos.

Paso 1

Instale el nuevo certificado en el almacén de certificados del equipo local. Para ello, siga estos pasos:

  1. Haga clic en Inicio y, a continuación, en Ejecutar.
  2. Escriba MMC.
  3. En el menú Archivo, seleccione Agregar o quitar complemento.
  4. En la lista Complementos disponibles , seleccione Certificados y, a continuación, seleccione Agregar. Se inicia el Asistente para complementos de certificados.
  5. Seleccione la cuenta de equipo y haga clic en Siguiente.
  6. Seleccione Equipo local: (el equipo en el que se ejecuta esta consola) y, a continuación, seleccione Finalizar.
  7. Seleccione Aceptar.
  8. Expanda Raíz de consola\Certificados (equipo local)\Personal\Certificados.
  9. Haga clic con el botón derecho en Certificados, seleccione Todas las tareas y, a continuación, seleccione Importar.

Paso 2

Agregue a la cuenta de servicio de AD FS los permisos para acceder a la clave privada del nuevo certificado. Para ello, siga estos pasos:

  1. Con el almacén de certificados del equipo local todavía abierto, seleccione el certificado que se importó.

  2. Haga clic con el botón derecho en el certificado, seleccione Todas las tareas y, a continuación, seleccione Administrar claves privadas.

  3. Agregue la cuenta que ejecuta el servicio ADFS y, a continuación, conceda a la cuenta al menos permisos de lectura.

    Nota:

    Si no tiene la opción de administrar claves privadas, es posible que tenga que ejecutar el siguiente comando:

    certutil -repairstore my *

Paso 3

Enlace el nuevo certificado al sitio web de AD FS mediante el Administrador de IIS. Para ello, siga estos pasos:

  1. Abra el complemento Administrador de Internet Information Services (IIS).
  2. Vaya al sitio web predeterminado.
  3. Haga clic con el botón derecho en Sitio web predeterminado y, a continuación, seleccione Editar enlaces.
  4. Seleccione HTTPS y, a continuación, editar.
  5. Seleccione el certificado correcto en el encabezado certificado SSL.
  6. Seleccione Aceptar y, después, Cerrar.

Paso 4

Configure el servicio de servidor de AD FS para usar el nuevo certificado. Para ello, siga estos pasos:

  1. Abra Administración de AD FS 2.0.

  2. Vaya a AD FS 2.0\Service\Certificates.

  3. Haga clic con el botón derecho en Certificados y, a continuación, seleccione Establecer certificado de comunicaciones de servicio.

  4. Seleccione el nuevo certificado en la interfaz de usuario de selección de certificados.

  5. Seleccione Aceptar.

    Nota:

    Es posible que vea un cuadro de diálogo que contiene el mensaje siguiente:
    La longitud de la clave de certificado es inferior a 2048 bits. Los certificados con tamaños de clave inferiores a 2048 bits pueden presentar un riesgo de seguridad y no se recomiendan. ¿Desea continuar?

    Después de leer el mensaje, seleccione . Aparecerá otro cuadro de diálogo. Contiene el siguiente mensaje:

    Asegúrese de que la clave privada del certificado elegido sea accesible para la cuenta de servicio de este servicio de federación en cada servidor de la granja de servidores.

    Ya se hizo en el paso 2. Seleccione Aceptar.

¿Aún necesita ayuda? Vaya a Office 365 Comunidad.