ADFS、WAP の SSL 証明書更新

2021.06.22

SSL 証明書更新手順をまとめます。検証結果によるもので、正式な手順ではない可能性があります。

大まかな作業の流れは以下になります。
1. ~ 3. は ADFS サーバー、WAP サーバー共通です。

CSR (req ファイル) の作成

IIS がセットアップされているサーバーから CSR ファイルをエクスポートします。
ADFS サーバーからエクスポートするという情報もありますが、IIS のみの環境でも問題ないと思われます。
以下証明書要求ファイルを作成後に、要求先となる公的なサードパーティーの認証機関 (CA) が指定する方法で、証明書要求ファイル (req) の内容を送信します。

  1. [インターネットインフォメーションサービス (IIS) マネージャー] を開く。
  2. [コンピューター名] をクリックし、[サーバー証明書] を開く。
  3. [証明書の要求の作成] クリックする。
  4. 証明書の要求ウィザードで必要な情報を入力する。
    一般名 (コモンネーム) → フェデレーションサーバーの FQDN
    証明機関が指定するビット長 → 2048 ビット
    ファイル名 → 拡張子 csr、req 等

証明書ファイル (cer) のインポート/証明書ファイル (pfx) のエクスポート

公的なサードパーティーの認証機関 (CA) から cer 形式の証明書ファイルを取得後、CSR ファイルをエクスポートした IIS サーバーにインポートします。

  1. [インターネットインフォメーションサービス (IIS) マネージャー] を開く。
  2. [コンピューター名] をクリックし、[サーバー証明書] を開く。
  3. [証明書の要求の完了] クリックする。
  4. 証明書の要求完了ウィザードで必要な情報を入力する。
    証明機関の応答が含まれるファイルの名前 → ファイルパス
    フレンドリ名 → 任意
    新しい証明書の証明書ストアを選択してください → 個人

インポートした証明書を pfx ファイル (公開キー + 秘密キー) としてエクスポートします。
(証明書を他のサーバーでも使用できるようにする。)

  1. [インターネットインフォメーションサービス (IIS) マネージャー] を開く。
  2. [コンピューター名] をクリックし、[サーバー証明書] を開く。
  3. 証明書一覧から該当の証明書を選択し、右クリック、[エクスポート] を選択。
  4. パスワードを指定し、pfx ファイルとしてエクスポートする。

作成された pfx ファイルを ADFS サーバー、WAP サーバーにインポートします。

pfx ファイルのインポート

証明書を更新する ADFS、WAP サーバーに pfx ファイルをコピーし、インポートします。

  1. pfx ファイルをダブルクリックする。
  2. 証明書のインポートウィザードで必要な情報を入力する。
    保存場所 → ローカル コンピューター
    パスワード → pfx ファイルエクスポート時に指定したパスワード
    インターネット オプション → [このキーをエクスポート可能にする]、[すべての拡張プロパティを含める] オン
    証明書ストア → 証明書の種類に基づいて、自動的に証明書ストアを選択する

証明書更新

ADFS サーバー、WAP サーバーで証明書を更新します。手順はそれぞれ異なります。

ADFS サーバー

  1. 証明書の Thumprint を取得
    PowerShell で以下コマンドを実行。Issuar (証明書の発行機関) や有効期限などを参考に、Thumprint を取得。
    Get-ChildItem cert:\LocalMachine\My\ | FL
  2. 証明書のバインドの変更
    PowerShell で以下コマンドを実行。証明書を新しい証明書にバインドする。
    Set-AdfsSslCertificate -Thumbprint 新しい証明書の Thumbprint
  3. サービス adfssrv を再起動。

WAP サーバー

  1. 証明書の Thumprint を取得
    PowerShell で以下コマンドを実行。Issuar (証明書の発行機関) や有効期限などを参考に、Thumprint を取得。
    Get-ChildItem cert:\LocalMachine\My\ | FL
  2. 証明書のバインドの変更
    PowerShell で以下コマンドを実行。証明書を新しい証明書にバインドする。
    Set-WebApplicationProxySslCertificate -Thumbprint 新しい証明書の Thumnbprint
  3. 信頼関係の再構築
    証明書が切れた場合など、ADFS サーバーと WAP サーバー間で信頼関係が破損し、「Web アプリケーション プロキシ サービス」が起動しない等の問題が発生する場合があります。
    以下コマンドにより信頼関係を修復します。
    Install-WebApplicationProxy -CertificateThumbprint 新しい証明書の Thumnbprint -FederationServiceName フェデレーションサービス名

WAP サーバーで外部公開されているアプリケーションが存在する場合は、外部証明書として設定されている証明書を差し替えます。

Get-WebApplicationProxyApplication | Set-WebApplicationProxyApplication -ExternalCertificateThumbprint 新しい証明書の Thumnbprint

コメント

タイトルとURLをコピーしました