Autorité de certification

Nous avons, en plus des serveurs du lab, une machine qui sert d’autorité de certification.

Son certificat racine est installé dans les Magasins de certificats (dossier ‘Truste Root Certification Authorities’) de toutes nos machines. Ainsi, nos serveurs font confiance à la même autorité, et donc aux certificats qu’elle émet.

Nous avons fait une demande de certificat à l’autorité racine pour nos deux serveur AD FS (Adatum et Treysearch), ainsi qu’une pour notre serveur SharePoint (login.treysearch.com), mais là c’est un autre sujet.

Certificats sur les serveurs AD FS 2.0

Le certificat de Adatum est installé dans le magasin de certificats de Treysearch (Personal Certificates) ; et celui de Treysearch dans le magasin de Adatum. Les deux machines se font mutuellement confiance.

Seulement, ce n’est pas suffisant pour AD FS. Si vous ouvrez la console AD FS 2.0, et allez dans Service > Certificates, vous verrez un Certificat dit ‘Token Signing Certificate’. C’est celui qui sert à signer les jetons de Claims échangés.

Pour que les tokens puissent être échangés entre les deux serveurs AD FS, il faut installer le certificat ‘Token Signing Certificate’ de Adatum sur Treysearch, et celui de de Treysearch sur Adatum.

Dans la console AD FS 2.0, vous devriez avoir, toujours dans Service > Certificates, sous le nom ‘Service Communications’ le certificat émis pour votre serveur par l’autorité indépendante.

Conclusion

C’est normalement tout ce qu’il faut faire au niveau des certificats pour que deux serveurs AD FS 2.0 puissent communiquer entre eux.

Si vous avez des problèmes de communication entre vos deux serveurs AD FS, pensez à vérifier que tous les certificats sont installés.  Il faut aussi que pour chaque certificat émis par une autorité racine, le certificat Root de l’autorité soit installé sur la machine.