Par défaut, ADFS est configuré pour générer des certificats de jeton auto-signés d’une durée d’un an. Cette durée peut être modifiée, plus de 3 ans de validité pour des raisons de sécurité. En revanche, si des administrateurs n'ont pas prévu le fait de renouveler chaque année ce fameux certificat, le service ADFS ne pourra plus du tout démarrer, donc toute authentification SSO configurées sur d'autres serveurs ne pourront forcément plus se connecter !

Cas d'expiration du certificat

Si comme moi, vous avez totalement oublié le fait de renouveler ce certificat et que vous vous en êtes aperçu au moment de vous authentifier sur une application de votre SI, vous avez dû voir le message suivant :

System.ArgumentNullException: La valeur ne peut pas être null.

Nous pouvons avoir plus de détails dans l'Observateur d'événements Windows :

Nous avons en évidence un détail qui nous intrigue en paramètre : la mention "certificate". C'est tout de suite là que j'ai compris… En tentant de lancer ou de démarrer un élément dépendant du service ADFS, impossible de faire quoi que ce soit !

Avant toute chose, vous devez d’abord comprendre la nécessité du certificat ADFS. En théorie, ADFS génère deux certificats comme suit :

• Signature de jeton ADFS
• Déchiffrement du jeton ADFS

Quel est le rôle de ce certificat ?

Un certificat de signature de jeton (Token-Signing) est un certificat X509. Les serveurs de fédération utilisent des paires de clés publique / privée associées pour signer numériquement tous les jetons de sécurité qu’ils produisent. Cela inclut la signature des demandes de résolution de métadonnées et d’artefacts de fédération publiées.

Il est possible de configurer plusieurs certificats "Token-Signing" dans le composant logiciel enfichable Gestion AD FS afin de faciliter le renouvellement des certificats avant leur expiration. Par défaut, bien que tous les certificats soient publiés, seul le certificat principal de signature de jetons est utilisé par AD FS pour la signature effective des jetons. Chaque certificat sélectionné doit posséder une clé privée associée.

Un certificat de déchiffrement de jeton est utilisé pour déchiffrer les jetons reçus par ce serveur de fédération.

Il est possible de posséder plusieurs certificats de déchiffrement. Cela autorise un serveur de fédération de ressources à déchiffrer des jetons émis avec un certificat antérieur, même après l'instauration d'un nouveau certificat en tant que principal certificat de déchiffrement. Bien que tous les certificats soient utilisables pour le déchiffrement, seul le certificat principal de déchiffrement de jetons est effectivement publié dans les métadonnées de la fédération. Chaque certificat sélectionné doit posséder une clé privée associée.

C'est pour cela que ces deux certificats sont primordiaux : assurer l'authenticité de chaque authentification entrantes et sortantes du serveur !

Périodes de validité des certificats de jeton

Si le serveur ADFS est configuré pour renouveler automatiquement les certificats de signature et de déchiffrement de jeton (AutoCertificateRollover est défini sur TRUE), vous pouvez déterminer quand ils seront renouvelés :

• CertificateGenerationThreshold décrit le nombre de jours avant la date de fin du certificat pour qu’un nouveau certificat soit généré.
• CertificatePromotionThreshold détermine le nombre de jours après la génération du nouveau certificat pendant lequel il sera promu en tant que certificat principal (en d’autres termes, AD FS commencera à l’utiliser pour signer les jetons qu’il émet et déchiffrer les jetons des fournisseurs d’identité).

Comment démarrer tout de même le service ADFS ?

Au fait que mon certificat soit expiré et qu'il n'est pas possible de démarrer le service, une simple manipulation est possible afin de permettre de redémarrer le service. Il s'agit de modifier l'heure de la machine et de démarrer ensuite le service. En prenant une date antérieur à la date d'expiration du certificat 'Token-Signing', nous n'allons plus avoir la vérification de l'expiration du certificat.

Pour cela, rendez-vous dans la paramètres Windows et choisissez une date à un mois de l'expiration du certificat.

Validez la modification et dans une console PowerShell, exécutez la commande suivante :

[PS] C:\> Start-Service adfssrv

Et par magie, cela fonctionne !

Nous distinguons aucune erreur, seul des avertissements qui nous indique le démarrage du service en cours

Vérification des certificats

Exécutez la commande PowerShell suivante sur le serveur ADFS principal pour afficher les propriétés relatives aux certificats :

[PS] C:\> Get-AdfsProperties | FL AutoCert*, Certificat*

Deux modes de renouvellements sont disponibles :

• Mode automatique (Automatic Staged Rollover) : C'est au cours de ce processus que l'ADFS contrôle le moment où les nouveaux certificats de jetons auto-signés sont générés et où ils sont promus au rang de certificats "primaires".
• En mode manuel (Manual Staged Rollover) : Ce processus contrôle manuellement le moment où les nouveaux certificats de jetons auto-signés sont générés et le moment où ils sont promus au rang de certificats "primaires". C'est donc à l'administrateur de réaliser le renouvellement des certificats lui même.

On affiche le certificat "Token-Signing" :

[PS] C:\> Get-AdfsCertificate CertificateType Token-Signing

Renouveler les certificats

Générez les nouveaux certificats de jeton en tant que certificats "secondaires", utilisez les commandes PowerShell ci-dessous. Les certificats « primaires » actuels et les nouveaux certificats "secondaires" seront disponibles pour les applications de la partie de confiance.

Nous pouvons modifier la date de validité du certificat. Cela se définis en fonction du nombre de jours qui deviendront la période de validité des nouveaux certificats de jeton auto-signés :

• 1 année : 365
• 3 ans : 1095
• 5 ans : 1827

Dans notre exemple, nous allons utilisons 5 ans (1827 jours), bien que pour des raisons de sécurité, la durée de renouvellement du certificat doit se faire chaque année.

Définir la durée de validité de notre certificat (exemple : durée de 5 ans = 1827 jours) :

[PS] C:\> Set-ADFSProperties -CertificateDuration 1827

Notez que vous ne pouvez pas générer manuellement les nouveaux certificats de jeton lorsque le processus de substitution automatique ADFS est désactivé. Par conséquent, les commandes activent le processus, génèrent les nouveaux certificats en tant que "Secondaire", puis désactivent le processus :

[PS] C:\> Set-ADFSProperties -AutoCertificateRollover $true
[PS] C:\> Update-AdfsCertificate -CertificateType Token-Decrypting
[PS] C:\> Update-AdfsCertificate -CertificateType Token-Signing
[PS] C:\> Set-ADFSProperties -AutoCertificateRollover $false

Nous redémarrons le service ADFS :

[PS] C:\> Restart-Service adfssrv

Exportation du nouveau certificat

De nombreuses applications sont configurées en s’appuyant sur l’authentification unique de confiance de partie, ce qui nécessite l’exportation du certificat et son partage avec le propriétaire de l’application nécessaire pour importer le certificat afin d’avoir un accès transparent à l’application.

Récupération de l'empreinte du certificat

Récupérer l'empreinte avec PowerShell

[PS] C:\> Get-ADFSCertificate Token-Signing | Select-Object Thumbprint

Il s'agit ici de récupérer le certificat de signature des jetons ADFS et non le certificat de l'interface Web du portail ADFS !

Récupérer l'empreinte depuis la console ADFS

Depuis la console ADFS, récupérez le certificat de signature dans le dossier Certificat > Signature de jetons. Double cliquer sur le certificat, puis l'onglet Détails > Empreinte numérique.

Il sera nécessaire d'importer la clé publique du certificat (.crt) sur le serveur.

Exploration de la clé publique en Base64

De nombreuses applications sont configurées sous la forme d'un SSO reposant sur la confiance d'une partie, ce qui nécessite l'exportation d'un certificat et son partage avec le propriétaire de l'application nécessaire pour importer le certificat afin d'avoir un accès transparent à l'application.

Afin d'exporter le certificat, ouvrez la console de gestion ADFS : ADFS > Service > Certificats. Pour chaque certificat "Token", effectuez les opérations suivantes.

Cliquez avec le bouton droit de la souris sur le certificat > Afficher le certificat... :

Dans la nouvelle fenêtre > Détails (onglet) > Copier dans le fichier (bouton) > Suivant :

Sélectionnez : DER encoded binary X.509 (.cer) -ou- Base-64 Encoded X.509 (.cer) :

Suivant > Rechercher un emplacement pour enregistrer le fichier et lui donner un nom :

Cliquer sur "Suivant", puis "Terminer". Le certificat a été exporté dans le dossier qui a été choisi.

Remarque : Pour exporter le certificat au format .PEM, choisissez Base-64 Encoded X.509 (.CER), puis renommez le fichier enregistré avec l'extension .pem.

Le fichier sera exporté en Base64 et est consultable dans un Bloc Note :

Mettre à jour les nouveaux certificats

Avant que les anciens certificats n’expirent, vous devez promouvoir les nouveaux certificats en "Principal".

Depuis la console de gestion ADFS , allez dans la partie ADFS > Service > Certificats. Pour chaque certificat de jeton "Secondaire", procédez comme suit :

Cliquez avec le bouton droit de la souris sur le certificat > Définir en tant que certificat principal :

Dans la colonne des certificats portant le statut "Principal" doit figurer sur celui qui a été définit ainsi.

Effacer les anciens certificats

Une fois que les anciens certificats ont expiré, vous pouvez les supprimer de la console de gestion ADFS. Notez que vous n’avez que la possibilité de supprimer les certificats « secondaires ». Vous ne pouvez pas supprimer un certificat "principal" car il dépend de la configuration ADFS.

Rendez-vous dans la console de gestion ADFS, puis déroulez le menu "ADFS > Service > Certificats". Pour chaque certificat de jeton "Secondaire", cliquez avec le bouton droit de la souris sur le certificat, puis "Supprimer".