Comment remplacer le certificat SSL sur le serveur ADFS (Windows Server 2025)

Commencez par importer votre nouveau certificat SSL avec clé privée dans le magasin de certificats Personnel de l'ordinateur local sur chaque serveur ADFS et WAP de votre ferme.

Ouvrez la Console de gestion Microsoft sur chaque serveur :

mmc.exe

Ajoutez le composant logiciel enfichable Certificats : Fichier > Ajouter/Supprimer des composants logiciels enfichables > Certificats > Ajouter > Compte d'ordinateur > Ordinateur local > Terminer > OK.

Accédez à Certificats (Ordinateur local) > Personnel > Certificats. Faites un clic droit dans l'espace vide et sélectionnez Toutes les tâches > Importer. Suivez l'Assistant Importation de Certificat :

• Sélectionnez votre fichier de certificat (.pfx ou .p12)
• Entrez le mot de passe de la clé privée
• Choisissez "Ordinateur local" comme emplacement du magasin
• Sélectionnez "Personnel" comme magasin de certificats

Vérifiez l'importation en vérifiant que le certificat apparaît dans le magasin Personnel avec une icône de clé indiquant que la clé privée est présente.

# Vérifier l'importation du certificat via PowerShell
Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*your-domain.com*"}

Le compte de service ADFS doit avoir un accès en lecture à la clé privée de votre nouveau certificat. Cela est crucial pour que le service utilise le certificat.

Dans le MMC des certificats, cliquez avec le bouton droit sur votre nouveau certificat et sélectionnez Toutes les tâches > Gérer les clés privées. Cliquez sur Ajouter pour ouvrir la boîte de dialogue de sélection d'utilisateur.

Pour les comptes de service gérés par groupe (gMSA), cliquez sur Types d'objets et cochez "Comptes de service". Entrez le nom de votre compte de service ADFS (se termine généralement par $):

DOMAIN\ADFS-Service$

Accordez les autorisations suivantes :

• Lire
• Contrôle total (recommandé pour le dépannage)

Cliquez sur OK pour appliquer les autorisations.

Vérifiez les autorisations à l'aide de PowerShell :

# Vérifier les autorisations de la clé privée du certificat
$cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Thumbprint -eq "YOUR_CERT_THUMBPRINT"}
$cert.PrivateKey

Avant de mettre à jour le certificat SSL, vous pouvez vouloir mettre à jour le certificat de communications de service via la console de gestion ADFS. Cette étape est optionnelle mais recommandée pour la cohérence.

Ouvrez la gestion ADFS depuis le Gestionnaire de serveur > Outils > Gestion AD FS. Naviguez vers Service > Certificats dans le panneau de gauche.

Cliquez avec le bouton droit sur "Communications de service" et sélectionnez "Définir le certificat de communications de service". Choisissez votre nouveau certificat dans la liste et cliquez sur OK.

# Alternative : Mise à jour via PowerShell
Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint "YOUR_CERT_THUMBPRINT"

Cela met à jour le certificat utilisé pour les communications de service à service au sein de la ferme ADFS.

Vérifiez la mise à jour :

Get-AdfsCertificate -CertificateType Service-Communications

Vous avez besoin de l'empreinte exacte de votre nouveau certificat pour le configurer comme certificat SSL. L'empreinte est un identifiant unique pour le certificat.

Récupérez les informations actuelles du certificat SSL et notez le format de l'empreinte :

Get-AdfsSslCertificate

Trouvez l'empreinte de votre nouveau certificat :

# Listez tous les certificats dans le magasin Personnel avec les empreintes
Get-ChildItem -Path Cert:\LocalMachine\My | Select-Object Subject, Thumbprint, NotAfter | Format-Table -AutoSize

Copiez l'empreinte de votre nouveau certificat. Assurez-vous de supprimer tous les espaces ou caractères cachés :

# Obtenez l'empreinte spécifique du certificat
$newCert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object {$_.Subject -like "*your-domain.com*" -and $_.NotAfter -gt (Get-Date)}
$thumbprint = $newCert.Thumbprint
Write-Host "Empreinte du certificat : $thumbprint"

Vérifiez que l'empreinte est correcte en vérifiant les détails du certificat dans la console MMC.

Exécutez la commande de mise à jour du certificat SSL sur le serveur ADFS principal. Depuis Windows Server 2016, cette commande propage automatiquement le changement à tous les serveurs de la ferme.

Exécutez la commande suivante sur le serveur ADFS principal :

# Remplacez YOUR_CERT_THUMBPRINT par votre empreinte réelle
Set-AdfsSslCertificate -Thumbprint "YOUR_CERT_THUMBPRINT"

La commande doit se terminer sans erreurs. Si elle réussit, vous verrez un message de confirmation.

Redémarrez le service ADFS pour vous assurer que le nouveau certificat est correctement chargé :

Restart-Service adfssrv

Attendez que le service redémarre complètement avant de continuer :

# Vérifiez l'état du service
Get-Service adfssrv

Vérifiez la mise à jour du certificat SSL :

Get-AdfsSslCertificate

Les serveurs Proxy d'application Web nécessitent des mises à jour de certificat séparées. Importez le certificat sur chaque serveur WAP d'abord, puis mettez à jour la configuration.

Sur chaque serveur WAP, définissez le nouveau certificat SSL :

# Mettre à jour le certificat SSL WAP
Set-WebApplicationProxySslCertificate -Thumbprint "YOUR_CERT_THUMBPRINT"

Si la commande ci-dessus échoue, vous devrez peut-être reconfigurer le WAP avec le nouveau certificat :

# Obtenir les informations d'identification de la ferme ADFS
$cred = Get-Credential

# Réinstaller WAP avec le nouveau certificat
Install-WebApplicationProxy -FederationServiceName "adfs.yourdomain.com" -FederationServiceTrustCredential $cred -CertificateThumbprint "YOUR_CERT_THUMBPRINT"

Mettez à jour manuellement la liaison IIS sur chaque serveur WAP. Ouvrez le Gestionnaire IIS, accédez à Sites > Default Web Site, et cliquez sur Liens. Modifiez la liaison HTTPS (port 443) et sélectionnez votre nouveau certificat.

Vérifiez la configuration WAP :

Get-WebApplicationProxySslCertificate

Bien que la commande Set-AdfsSslCertificate se propage à tous les membres de la ferme, vous devez redémarrer le service ADFS sur les serveurs secondaires pour vous assurer qu'ils prennent en compte la nouvelle liaison de certificat.

Sur chaque serveur ADFS secondaire, redémarrez le service :

Restart-Service adfssrv

Surveillez le redémarrage du service :

# Attendre que le service démarre
do {
    Start-Sleep -Seconds 5
    $service = Get-Service adfssrv
    Write-Host "Statut du service : $($service.Status)"
} while ($service.Status -ne "Running")

Vérifiez le journal des événements Windows pour toute erreur liée au certificat :

# Vérifier le journal des événements Admin ADFS pour les erreurs
Get-WinEvent -LogName "AD FS/Admin" -MaxEvents 10 | Where-Object {$_.LevelDisplayName -eq "Error"}

Vérifiez que chaque serveur utilise le nouveau certificat :

Get-AdfsSslCertificate | Select-Object PortNumber, CertificateHash

Effectuez des tests complets pour vous assurer que le nouveau certificat SSL fonctionne correctement sur tous les points de terminaison et services ADFS.

Testez la page de connexion ADFS dans un navigateur web :

https://adfs.yourdomain.com/adfs/ls/IdpInitiatedSignOn.aspx

Vérifiez qu'il n'y a pas d'avertissements ou d'erreurs de certificat. Le navigateur doit afficher une connexion SSL valide avec votre nouveau certificat.

Testez depuis PowerShell en utilisant Invoke-WebRequest :

# Test du point de terminaison des métadonnées ADFS
$response = Invoke-WebRequest -Uri "https://adfs.yourdomain.com/FederationMetadata/2007-06/FederationMetadata.xml" -UseBasicParsing
Write-Host "Code de statut : $($response.StatusCode)"

Vérifiez les détails du certificat de manière programmatique :

# Vérification du certificat via une connexion HTTPS
$request = [System.Net.WebRequest]::Create("https://adfs.yourdomain.com")
$request.GetResponse().Close()
$cert = $request.ServicePoint.Certificate
Write-Host "Sujet du certificat : $($cert.Subject)"
Write-Host "Expiration du certificat : $($cert.GetExpirationDateString())"

Testez l'authentification avec un compte utilisateur de test pour vous assurer que le flux d'authentification fonctionne de bout en bout.

Surveillez les journaux d'événements ADFS pendant les 24 prochaines heures pour détecter tout problème retardé :

Get-WinEvent -LogName "AD FS/Admin" -MaxEvents 50 | Where-Object {$_.TimeCreated -gt (Get-Date).AddHours(-1)}