Les Certificats entre serveurs AD FS 2.0

Autorité de certification

Nous avons, en plus des serveurs du lab, une machine qui sert d’autorité de certification.

Son certificat racine est installé dans les Magasins de certificats (dossier ‘Truste Root Certification Authorities’) de toutes nos machines. Ainsi, nos serveurs font confiance à la même autorité, et donc aux certificats qu’elle émet.

Nous avons fait une demande de certificat à l’autorité racine pour nos deux serveur AD FS (Adatum et Treysearch), ainsi qu’une pour notre serveur SharePoint (login.treysearch.com), mais là c’est un autre sujet.

Certificats sur les serveurs AD FS 2.0

Le certificat de Adatum est installé dans le magasin de certificats de Treysearch (Personal Certificates) ; et celui de Treysearch dans le magasin de Adatum. Les deux machines se font mutuellement confiance.

Seulement, ce n’est pas suffisant pour AD FS. Si vous ouvrez la console AD FS 2.0, et allez dans Service > Certificates, vous verrez un Certificat dit ‘Token Signing Certificate’. C’est celui qui sert à signer les jetons de Claims échangés.

Pour que les tokens puissent être échangés entre les deux serveurs AD FS, il faut installer le certificat ‘Token Signing Certificate’ de Adatum sur Treysearch, et celui de de Treysearch sur Adatum.

Dans la console AD FS 2.0, vous devriez avoir, toujours dans Service > Certificates, sous le nom ‘Service Communications’ le certificat émis pour votre serveur par l’autorité indépendante.

Conclusion

C’est normalement tout ce qu’il faut faire au niveau des certificats pour que deux serveurs AD FS 2.0 puissent communiquer entre eux.

Si vous avez des problèmes de communication entre vos deux serveurs AD FS, pensez à vérifier que tous les certificats sont installés.  Il faut aussi que pour chaque certificat émis par une autorité racine, le certificat Root de l’autorité soit installé sur la machine.In this article we will talk about the certificates setup required between two AD FS servers to communicate. Our configuration is the one we showed here.

Certification Authority

We have, in addition to the VMs used for this lab, a standalone VM that we use as a certification authority.

Its root certificate is installed in Certificates stores (folder “Trusted Root Certification Authorities”) of all the VMs of the lab: our servers trust this Certification Authority and the certificates it issues.

We made a certificate request to the certification authority for our two AD FS servers (Adatum and Treysearch) and issued the corresponding certificates. We made also one certificate for the SharePoint site, which uses the url login.treysearch.com.

Certificates on AD FS 2.0 servers

The certificate issued for Adatum is installed in the certificates store of the Treysearch DC (Personal Certificates folder) and the one issued for Treysearch in the certificates store of Adatum, so that the two servers trust each other.

But to be able to connect the two AD FS servers, this is not enough: we have some further configuration to do… Open the AD FS management console and go to Services > Certificates. You will see a certificate named “Token Signing Certificate”. It is the one used by AD FS to sign the Claims it sends.

To complete the configuration, we have to install the Adatum “Token Signing Certificate” on Treysearch; and the Treysearch “Token Signing Certificate” on Adatum.

You also should have in the AD FS management console, under “Service Communications” Service > Certificates, the certificate issued by the Certification Authority for your server.

Conclusion

This is all you should need to configure on the certificates side for AD FS 2.0.

If you encounter communication issues between your two AD FS servers, it is likely that something is wrong with your certificates, so check the steps explained here. You also have to make sure, that the root certificate is trusted (for certificate issued by the certification authority).