[HOWTO] Renovando certificados ADFS y Office365

Bueno, lo primero indicar que no soy ningún experto en este tema, únicamente quiero compartir las experiencias vividas tras tener que lidiar en el entorno de un cliente. Se debe tomar como referencia general y no al pie de la letra, puesto que muchos de los puntos no fueron reproducidos por mi directamente. Dicho esto, comenzamos..

Primero, nos ponemos en situación:
El cliente tiene contratado un plan de Office365 con Microsoft y realiza la sincronización de su directorio activo local con su plan (es decir lo sincroniza en la nube). Todos sus usuarios, contraseñas y algunos datos de usuario están sincronizados.
El cliente lleva unos días que cada vez que loguea al sistema 365 le sale una advertencia indicando que los certificados están próximos a caducar y que si en x días no los renueva perderá el servicio.

En este caso, el cliente tuvo problemas y llegó a perder servicio al intentar renovar los certificados, pero no nos vamos a centrar en el problema si no como evitarlo..

Así pues, comenzamos a revisar y lo primero que nos encontramos es que el sistema ADFS~Office365 hace uso de 3 certificados como se puede ver en la imagen: (imagen cogida de http://www.kraak.com/?p=190)

Certificados ADFS

Certificado de comunicaciones: Este certificado es el que se expone a internet, y en general es conveniente que sea firmado por una CA reconocida y de pago. Es la parte visible.
Certificados Token-decrypting y token-signing: o decriptado y firmado de token, estos a diferencia del anterior, no son de una CA reconocida y de pago, son los que genera el servicio de Microsoft Online o Office365 para poder realizar la conexión con nuestro AD.

Es importante saber que no están relacionados estos 2 grupos, puesto que si no podemos tener confusiones, a la hora de renovarlos.
A priori, a los certificados que hace referencia el sistema Office365 cuando nos logueamos es a los de Token. El de comunicaciones es únicamente un certificado de acceso al site, para que cuando se acceda al webmail/plataforma de login el tráfico vaya cifrado (a efectos prácticos en un certificado de web normal y corriente -> https)

Por ello, vamos a diferenciar la renovación de ambos.

Para renovar el certificado de comunicaciones que posiblemente tendrá un nombre similar a adfs.dominio.com, bastará con seguir los pasos de renovación para un IIS o usando el MMC y a posteriori establecerlo desde la propia consola del ADFS.

La renovación de los certificados de Token en principio es automática, y cuando llega un período denominado de “gracia” (20 días antes) se produce la autorenovación.
Decía de gracia, porque en nuestro caso tuvimos que forzar el modo manual, porque como hemos indicado el cliente se había quedado sin servicio de correo. Si alguna vez alguien tiene la posibilidad de comprobarlo, que me confirme que se produce automáticamente sin problema.

Si tienes una urgencia como yo tuve, o bien, prefieres generarlo manualmente porque así lo tienes controlado, los pasos son sencillos:

Ahora tenemos los certificados generados, tenemos que subirlos o sincronizarlos con Office365:

Con todo esto, para finalizar deberemos lanzar el Wizard de configuración de Proxy (el proxy es el sistema frontend, es decir, el que tiene el certificado de comunicaciones). Y configuraremos convenientemente con los datos que nos vaya pidiendo (dominio y autenticación).
En base a mi experiencia, en este punto también es conveniente lanzar una sincronización manual del directorio activo, para verificar que todo está en orden.

So simple..

 

This entry was posted in sysadmin, Uncategorized, windows and tagged , , , , . Bookmark the permalink.

One Response to [HOWTO] Renovando certificados ADFS y Office365

  1. Javier Maldonado says:

    Buen día.

    Tengo un problema y quisiera ver si me podrían ayudar.

    Estamos implementado ADFS con windows server 2012 R2, ya lo teníamos listo y configurado, para ponerlo en producción, pero tuvimos un problema con el servidor en el que estaba instalado, el cual nos dispusimos a instalar y configurar uno nuevo y no podemos, después e agregar el rol y seguir con la configuración, en el ultimo paso no sale el erro “a constraint violation occurred”.

    me podrían ayudar por favor.

Leave a Reply

Your email address will not be published. Required fields are marked *