Como alterar o certificado de comunicações de serviço do AD FS 2.0 após a expiração

  • Artigo

Este artigo fornece as etapas para alterar o certificado de comunicação de serviço do Serviços de Federação do Active Directory (AD FS) 2.0.

Aplica-se a: Windows Server 2008 R2 Service Pack 1
Número de KB original: 2921805

Sintomas

Um usuário deseja saber como alterar o certificado de comunicação de serviço do Serviços de Federação do Active Directory (AD FS) (AD FS) 2.0 após expirar ou por outros motivos.

Resolução

Substituir um certificado de serviço de servidor do AD FS 2.0 existente é um processo de vários passo.

Etapa 1:

Instale o novo certificado no repositório de certificados de computador local. Para fazer isso, siga estas etapas:

  1. Selecione Iniciar e Executar.
  2. Digite MMC.
  3. No menu Arquivo, clique em Adicionar/Remover Snap-in.
  4. Na lista de snap-ins disponíveis , selecione Certificados e selecione Adicionar. O Assistente de Snap-in de Certificados é iniciado.
  5. Selecione Conta do computador e, em seguida, selecione Avançar.
  6. Selecione Computador local: (o computador em que este console está em execução)e selecione Concluir.
  7. Selecione OK.
  8. Expanda Raiz do Console\Certificados (Computador Local)\Pessoal\Certificados.
  9. Clique com o botão direito do mouse em Certificados, selecione Todas as Tarefas e selecione Importar.

Etapa 2:

Adicione à conta de serviço do AD FS as permissões para acessar a chave privada do novo certificado. Para fazer isso, siga estas etapas:

  1. Com o repositório de certificados de computador local ainda aberto, selecione o certificado importado.

  2. Clique com o botão direito do mouse no certificado, selecione Todas as Tarefas e selecione Gerenciar Chaves Privadas.

  3. Adicione a conta que está executando o Serviço ADFS e, em seguida, dê à conta pelo menos permissões de leitura.

    Observação

    Se você não tiver a opção de gerenciar chaves privadas, talvez seja necessário executar o seguinte comando:

    certutil -repairstore my *

Etapa 3:

Associar o novo certificado ao site do AD FS usando o Gerenciador do IIS. Para fazer isso, siga estas etapas:

  1. Abra o snap-in do Gerenciador de Serviços de Informações da Internet (IIS).
  2. Navegue até Site Padrão.
  3. Clique com o botão direito do mouse em Site Padrão e selecione Editar Associações.
  4. Selecione HTTPS e selecione Editar.
  5. Selecione o certificado correto no título do certificado SSL.
  6. Selecione OK e selecione Fechar.

Etapa 4:

Configure o serviço do Servidor do AD FS para usar o novo certificado. Para fazer isso, siga estas etapas:

  1. Abra o Gerenciamento do AD FS 2.0.

  2. Navegue até AD FS 2.0\Service\Certificates.

  3. Clique com o botão direito do mouse em Certificados e selecione Definir Certificado de Comunicações de Serviço.

  4. Selecione o novo certificado na interface do usuário da seleção de certificados.

  5. Selecione OK.

    Observação

    Você pode ver uma caixa de diálogo que contém a seguinte mensagem:
    O comprimento da chave de certificado é menor que 2048 bits. Certificados com tamanhos de chave inferiores a 2048 bits podem apresentar um risco de segurança e não são recomendados. Deseja continuar?

    Depois de ler a mensagem, selecione Sim. Outra caixa de diálogo é exibida. Ela contém a seguinte mensagem:

    Verifique se a chave privada do certificado escolhido está acessível à conta de serviço deste Serviço de Federação em cada servidor no farm.

    Já foi feito na etapa 2. Selecione OK.

Ainda precisa de ajuda? Vá para Office 365 Comunidade.