Nouzová rotace certifikátů služby AD FS
Pokud potřebujete certifikáty služby Active Directory Federation Services (AD FS) okamžitě otočit, můžete postupovat podle kroků v tomto článku.
Důležitý
Obměna certifikátů v prostředí služby AD FS okamžitě odvolá staré certifikáty a čas, který obvykle zabere, aby vaši federační partneři mohli nový certifikát využívat, se vynechá. Akce může také způsobit výpadek služby, protože důvěry se aktualizují kvůli použití nových certifikátů. Výpadek by se měl vyřešit po tom, co všichni federační partneři mají nové certifikáty.
Poznámka
Důrazně doporučujeme použít modul hardwarového zabezpečení (HSM) k ochraně a zabezpečení certifikátů. Další informace najdete v části Modulu hardwarového zabezpečení v osvědčených postupech pro zabezpečení služby AD FS.
Určení kryptografického otisku podpisového certifikátu tokenu
Pokud chcete odvolat starý podpisový certifikát tokenu, který služba AD FS aktuálně používá, musíte určit kryptografický otisk podpisového certifikátu tokenu. Postupujte takto:
Připojte se ke službě Microsoft Online Service spuštěním v PowerShellu
Connect-MsolService
.Zdokumentujte kryptografický otisk vašeho lokálního a cloudového certifikátu pro podepisování tokenů a data jejich vypršení platnosti spuštěním
Get-MsolFederationProperty -DomainName <domain>
.Zkopírujte otisk palce. Později ho použijete k odebrání existujících certifikátů.
Otisk prstu můžete získat také pomocí nástroje Správa služby AD FS. Přejděte na Service>Certifikát, klikněte pravým tlačítkem myši na certifikát, vyberte Zobrazit certifikát, a poté zvolte Podrobnosti.
Určení, jestli služba AD FS prodlouží certifikáty automaticky
Ve výchozím nastavení je služba AD FS nakonfigurovaná tak, aby automaticky generovala certifikáty podepisování tokenů a dešifrování tokenů. Provede to jak během počáteční konfigurace, tak i při blížícím se datu vypršení platnosti certifikátů.
Můžete spustit následující příkaz PowerShellu: Get-AdfsProperties | FL AutoCert*, Certificate*
.
Vlastnost AutoCertificateRollover
popisuje, jestli je služba AD FS nakonfigurovaná tak, aby obnovovala podepisování tokenů a dešifrování certifikátů automaticky. Udělejte jednu z těchto věcí:
- Pokud je
AutoCertificateRollover
nastaveno naTRUE
, vygeneruje nový samopodepsaný certifikát. - Pokud je
AutoCertificateRollover
nastaveno naFALSE
, ručně generuje nové certifikáty.
Pokud je funkce AutoCertificateRollover nastavená na HODNOTU TRUE, vygenerujte nový certifikát podepsaný svým držitelem.
V této části vytvoříte dva certifikáty pro podepisování tokenů. První použije příznak -urgent
, který okamžitě nahradí aktuální primární certifikát. Druhá se používá pro sekundární certifikát.
Důležitý
Vytváříte dva certifikáty, protože ID Microsoft Entra uchovává informace o předchozím certifikátu. Když vytvoříte druhý, vynutíte Microsoft Entra ID k vydání informací o starém certifikátu a nahradíte ho informacemi o druhém certifikátu.
Pokud nevytvoříte druhý certifikát a neaktualizujete Microsoft Entra ID, může se stát, že starý certifikát pro podpis tokenu bude moci ověřovat uživatele.
Pokud chcete vygenerovat nové certifikáty podepisování tokenů, postupujte takto:
Ujistěte se, že jste přihlášeni k primárnímu serveru SLUŽBY AD FS.
Otevřete Windows PowerShell jako správce.
Ujistěte se, že spuštěním příkazu v PowerShellu bude
AutoCertificateRollover
nastaveno naTrue
.Get-AdfsProperties | FL AutoCert*, Certificate*
Pokud chcete vygenerovat nový podpisový certifikát tokenu, spusťte:
Update-ADFSCertificate -CertificateType Token-Signing -Urgent
Ověřte aktualizaci spuštěním příkazu:
Get-ADFSCertificate -CertificateType Token-Signing
Teď vygenerujte druhý podpisový certifikát tokenu spuštěním následujícího příkazu:
Update-ADFSCertificate -CertificateType Token-Signing
Aktualizaci můžete ověřit opětovným spuštěním následujícího příkazu:
Get-ADFSCertificate -CertificateType Token-Signing
Pokud je funkce AutoCertificateRollover nastavená na FALSE, vygenerujte nové certifikáty ručně.
Pokud nepoužíváte výchozí automaticky generované certifikáty podpisového tokenu podepsaného svým držitelem a dešifrování tokenů, musíte tyto certifikáty obnovit a nakonfigurovat ručně. To zahrnuje vytvoření dvou nových podpisových certifikátů tokenů a jejich import. Potom jeden z nich upřednostníte na primární, odvoláte starý certifikát a nakonfigurujete druhý certifikát jako sekundární certifikát.
Nejprve musíte od certifikační autority získat dva nové certifikáty a importovat je do osobního úložiště certifikátů místního počítače na každém federačním serveru. Pokyny najdete v tématu Import certifikátu.
Důležitý
Vytváříte dva certifikáty, protože ID Microsoft Entra uchovává informace o předchozím certifikátu. Když vytvoříte druhý, vynutíte Microsoft Entra ID k vydání informací o starém certifikátu a nahradíte ho informacemi o druhém certifikátu.
Pokud nevytvoříte druhý certifikát a neaktualizujete Microsoft Entra ID, může se stát, že starý certifikát pro podepisování tokenů bude schopen ověřit uživatele.
Konfigurace nového certifikátu jako sekundárního certifikátu
Dále nakonfigurujte jeden certifikát jako sekundární podpisový nebo dešifrovací certifikát tokenu služby AD FS a pak ho upřednostníte na primární.
Po importu certifikátu otevřete konzolu pro správu AD FS.
Rozbalte Servicea pak vyberte Certifikáty.
V podokně Akce vyberte Přidat Token-Signing Certifikát.
V seznamu zobrazených certifikátů vyberte nový certifikát a pak vyberte OK.
Zvýšení úrovně nového certifikátu ze sekundárního na primární
Teď, když jste naimportovali nový certifikát a nakonfigurovali ho ve službě AD FS, musíte ho nastavit jako primární certifikát.
Otevřete konzolu pro správu služby AD FS.
Rozbalte Servicea pak vyberte Certifikáty.
Vyberte podpisový certifikát sekundárního tokenu.
V podokně Akce vyberte Nastavit jako primární. Na příkazovém řádku vyberte Ano.
Po zvýšení úrovně nového certifikátu jako primárního certifikátu byste měli starý certifikát odebrat, protože ho stále můžete použít. Další informace najdete v části Odebrání starých certifikátů.
Konfigurace druhého certifikátu jako sekundárního certifikátu
Teď, když jste přidali první certifikát, nastavili ho jako primární a odebrali starý certifikát, můžete naimportovat druhý certifikát. Certifikát nakonfigurujte jako sekundární podpisový certifikát tokenu služby AD FS následujícím způsobem:
Po importu certifikátu otevřete konzolu pro správu AD FS.
Rozbalte Servicea poté vyberte Certifikáty.
V podokně Akce vyberte Přidat Token-Signing Certifikát.
V seznamu zobrazených certifikátů vyberte nový certifikát a pak vyberte OK.
Aktualizace ID Microsoft Entra pomocí nového certifikátu pro podpis tokenu
Otevřete modul Azure AD PowerShell. Případně otevřete Windows PowerShell a spusťte příkaz
Import-Module msonline
.Spuštěním následujícího příkazu se připojte k Microsoft Entra ID:
Connect-MsolService
Zadejte přihlašovací údaje správce hybridních identit .
Poznámka
Pokud tyto příkazy spouštíte na počítači, který není primárním federačním serverem, zadejte nejprve následující příkaz:
Set-MsolADFSContext -Computer <servername>
Nahraďte <název serveru> názvem serveru SLUŽBY AD FS a potom na příkazovém řádku zadejte přihlašovací údaje správce pro server SLUŽBY AD FS.
Volitelně můžete ověřit, jestli se aktualizace vyžaduje, a to tak, že zkontrolujete aktuální informace o certifikátu v ID Microsoft Entra. Provedete to spuštěním následujícího příkazu:
Get-MsolFederationProperty
. Po zobrazení výzvy zadejte název federované domény.Pokud chcete aktualizovat informace o certifikátu v MICROSOFT Entra ID, spusťte následující příkaz:
Update-MsolFederatedDomain
a po zobrazení výzvy zadejte název domény.Poznámka
Pokud se při spuštění tohoto příkazu zobrazí chyba, spusťte
Update-MsolFederatedDomain -SupportMultipleDomain
a na příkazovém řádku zadejte název domény.
Nahrazení certifikátů SSL
Pokud potřebujete kvůli kompromitaci nahradit podpisový certifikát tokenu, měli byste také odvolat a nahradit certifikáty SSL (Secure Sockets Layer) pro servery AD FS a servery proxy pro webové aplikace (WAP).
Odvolání certifikátů SSL musí být provedeno na certifikační autoritě (CA), která certifikát vydala. Tyto certifikáty často vydávají poskytovatelé třetích stran, jako je GoDaddy. Pro příklad vizte Jak odvolat certifikát | Certifikáty SSL - GoDaddy Nápověda US. Další informace naleznete v tématu Jak funguje odvolání certifikátu.
Po odvolání starého certifikátu SSL a vydání nového certifikátu můžete nahradit certifikáty SSL. Další informace najdete v tématu Nahrazení certifikátu SSL pro službu AD FS.
Odebrání starých certifikátů
Po nahrazení starých certifikátů byste měli starý certifikát odebrat, protože ho stále můžete použít. Jak na to:
Ujistěte se, že jste přihlášeni k primárnímu serveru SLUŽBY AD FS.
Otevřete Windows PowerShell jako správce.
Pokud chcete odebrat starý podpisový certifikát tokenu, spusťte:
Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>
Aktualizace federačních partnerů, kteří můžou využívat federační metadata
Pokud jste obnovili a nakonfigurovali nový podpisový certifikát tokenu nebo dešifrování tokenů, musíte zajistit, aby nové certifikáty získali všichni vaši federační partneři. Tento seznam obsahuje partnery pro organizaci prostředků nebo účtů, kteří jsou ve službě AD FS zastoupeni důvěryhodnými vztahy s důvěřujícími stranami a poskytovateli reklamací.
Aktualizace federačních partnerů, kteří nemůžou využívat federační metadata
Pokud vaši federační partneři nemohou využívat vaše federační metadata, musíte jim ručně odeslat veřejný klíč nového certifikátu pro podepisování tokenů nebo dešifrování tokenů. Odešlete nový veřejný klíč certifikátu (.cer soubor nebo .p7b, pokud chcete zahrnout celý řetězec) všem partnerům vašich organizací prostředků nebo účtů, které jsou v AD FS zastoupeny vztahy důvěryhodnosti přebírajících stran a poskytovatelů deklarací. Požádejte partnery, aby na své straně implementovali změny pro důvěru v nové certifikáty.
Odvolání obnovovacích tokenů prostřednictvím PowerShellu
Teď chcete odvolat obnovovací tokeny pro uživatele, kteří je můžou mít, a vynutit, aby se znovu přihlásili a získali nové tokeny. Tímto se uživatelé odhlásí ze svých telefonů, aktuálních webmailových relací a dalších míst, kde jsou používány tokeny a obnovovací tokeny. Pro více informací se podívejte na Revoke-AzureADUserAllRefreshToken. Také si přečtěte Odvolání přístupu uživatele v Microsoft Entra ID.
Poznámka
Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Chcete-li se dozvědět více, přečtěte si aktualizaci vyřazení . Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.
Doporučujeme migrovat na Microsoft Graph PowerShellu pro interakci s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x MSOnline mohou zažít přerušení po 30. červnu 2024.