Sdílet prostřednictvím


Tísňová obměně certifikátů SLUŽBY AD FS

Pokud potřebujete certifikáty Active Directory Federation Services (AD FS) (AD FS) okamžitě otočit, můžete postupovat podle kroků v tomto článku.

Důležité

Obměna certifikátů v prostředí služby AD FS okamžitě odvolá staré certifikáty a čas, který obvykle zabere, aby vaši federační partneři mohli nový certifikát využívat, se vynechá. Akce může také způsobit výpadek služby, protože aktualizace důvěryhodnosti používá nové certifikáty. Výpadek by se měl vyřešit po tom, co všichni federační partneři mají nové certifikáty.

Poznámka:

Důrazně doporučujeme použít modul hardwarového zabezpečení (HSM) k ochraně a zabezpečení certifikátů. Další informace najdete v části Modul hardwarového zabezpečení v osvědčených postupech pro zabezpečení služby AD FS.

Určení kryptografického otisku podpisového certifikátu tokenu

Pokud chcete odvolat starý podpisový certifikát tokenu, který služba AD FS aktuálně používá, musíte určit kryptografický otisk podpisového certifikátu tokenu. Postupujte následovně:

  1. Připojení ke službě Microsoft Online Service spuštěním v PowerShellu Connect-MsolService.

  2. Zdokumentujte kryptografický otisk vašeho místního i cloudového podpisového certifikátu tokenu a data vypršení platnosti spuštěním Get-MsolFederationProperty -DomainName <domain>příkazu .

  3. Zkopírujte kryptografický otisk dolů. Později ho použijete k odebrání existujících certifikátů.

Kryptografický otisk můžete získat také pomocí správy služby AD FS. Přejděte na Certifikáty služeb>, klikněte pravým tlačítkem myši na certifikát, vyberte Zobrazit certifikát a pak vyberte Podrobnosti.

Určení, jestli služba AD FS prodlouží certifikáty automaticky

Ve výchozím nastavení je služba AD FS nakonfigurovaná tak, aby automaticky generovala certifikáty podepisování tokenů a dešifrování tokenů. Provede to jak během počáteční konfigurace, tak i při blížícím se datu vypršení platnosti certifikátů.

Můžete spustit následující příkaz PowerShellu: Get-AdfsProperties | FL AutoCert*, Certificate*.

Tato AutoCertificateRollover vlastnost popisuje, jestli je služba AD FS nakonfigurovaná tak, aby obnovovala podepisování tokenů a dešifrování certifikátů automaticky. Proveďte jednu z následujících akcí:

Pokud je funkce AutoCertificateRollover nastavená na HODNOTU TRUE, vygenerujte nový certifikát podepsaný svým držitelem.

V této části vytvoříte dva podpisové certifikáty tokenů. První použije -urgent příznak, který nahradí aktuální primární certifikát okamžitě. Druhá se používá pro sekundární certifikát.

Důležité

Vytváříte dva certifikáty, protože ID Microsoft Entra uchovává informace o předchozím certifikátu. Když vytvoříte druhý, vynutíte Microsoft Entra ID k vydání informací o starém certifikátu a nahradíte ho informacemi o druhém certifikátu.

Pokud druhý certifikát nevytvoříte a aktualizujete id Microsoft Entra, může být možné, že starý podpisový certifikát tokenu ověří uživatele.

Pokud chcete vygenerovat nové certifikáty podepisování tokenů, postupujte takto:

  1. Ujistěte se, že jste přihlášeni k primárnímu serveru SLUŽBY AD FS.

  2. Spusťte Windows PowerShell jako správce.

  3. Ujistěte se, že AutoCertificateRollover je nastavené True spuštěním v PowerShellu:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Pokud chcete vygenerovat nový podpisový certifikát tokenu, spusťte:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Ověřte aktualizaci spuštěním příkazu:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Teď vygenerujte druhý podpisový certifikát tokenu spuštěním následujícího příkazu:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. Aktualizaci můžete ověřit opětovným spuštěním následujícího příkazu:

    Get-ADFSCertificate -CertificateType Token-Signing

Pokud je funkce AutoCertificateRollover nastavená na FALSE, vygenerujte nové certifikáty ručně.

Pokud nepoužíváte výchozí automaticky generované certifikáty podpisového tokenu podepsaného svým držitelem a dešifrování tokenů, musíte tyto certifikáty obnovit a nakonfigurovat ručně. To zahrnuje vytvoření dvou nových podpisových certifikátů tokenů a jejich import. Potom jeden z nich upřednostníte na primární, odvoláte starý certifikát a nakonfigurujete druhý certifikát jako sekundární certifikát.

Nejprve musíte od certifikační autority získat dva nové certifikáty a importovat je do osobního úložiště certifikátů místního počítače na každém federačním serveru. Pokyny najdete v tématu Import certifikátu.

Důležité

Vytváříte dva certifikáty, protože ID Microsoft Entra uchovává informace o předchozím certifikátu. Když vytvoříte druhý, vynutíte Microsoft Entra ID k vydání informací o starém certifikátu a nahradíte ho informacemi o druhém certifikátu.

Pokud druhý certifikát nevytvoříte a aktualizujete id Microsoft Entra, může být možné, že starý podpisový certifikát tokenu ověří uživatele.

Konfigurace nového certifikátu jako sekundárního certifikátu

Dále nakonfigurujte jeden certifikát jako sekundární podpisový nebo dešifrovací certifikát tokenu služby AD FS a pak ho upřednostníte na primární.

  1. Po importu certifikátu otevřete konzolu pro správu služby AD FS.

  2. Rozbalte položku Služba a pak vyberte Certifikáty.

  3. V podokně Akce vyberte Přidat podpisový certifikát tokenu.

  4. V seznamu zobrazených certifikátů vyberte nový certifikát a pak vyberte OK.

Zvýšení úrovně nového certifikátu ze sekundárního na primární

Teď, když jste naimportovali nový certifikát a nakonfigurovali ho ve službě AD FS, musíte ho nastavit jako primární certifikát.

  1. Otevřete konzolu pro správu služby AD FS.

  2. Rozbalte položku Služba a pak vyberte Certifikáty.

  3. Vyberte podpisový certifikát sekundárního tokenu.

  4. V podokně Akce vyberte Nastavit jako primární. Na příkazovém řádku vyberte Ano.

  5. Po zvýšení úrovně nového certifikátu jako primárního certifikátu byste měli starý certifikát odebrat, protože ho stále můžete použít. Další informace najdete v části Odebrání starých certifikátů .

Konfigurace druhého certifikátu jako sekundárního certifikátu

Teď, když jste přidali první certifikát, nastavili ho jako primární a odebrali starý certifikát, můžete naimportovat druhý certifikát. Certifikát nakonfigurujte jako sekundární podpisový certifikát tokenu služby AD FS následujícím způsobem:

  1. Po importu certifikátu otevřete konzolu pro správu služby AD FS.

  2. Rozbalte položku Služba a pak vyberte Certifikáty.

  3. V podokně Akce vyberte Přidat podpisový certifikát tokenu.

  4. V seznamu zobrazených certifikátů vyberte nový certifikát a pak vyberte OK.

Aktualizace ID Microsoft Entra pomocí nového certifikátu pro podpis tokenu

  1. Otevřete modul Azure AD PowerShell. Případně otevřete Windows PowerShell a spusťte Import-Module msonline příkaz.

  2. Připojení do Microsoft Entra ID spuštěním následujícího příkazu:

    Connect-MsolService

  3. Zadejte své přihlašovací údaje k Správa istratoru hybridní identity.

    Poznámka:

    Pokud tyto příkazy spouštíte na počítači, který není primárním federačním serverem, zadejte nejprve následující příkaz:

    Set-MsolADFSContext -Computer <servername>

    Nahraďte <název> serveru názvem serveru služby AD FS a potom na příkazovém řádku zadejte přihlašovací údaje správce pro server SLUŽBY AD FS.

  4. Volitelně můžete ověřit, jestli se aktualizace vyžaduje, a to tak, že zkontrolujete aktuální informace o certifikátu v ID Microsoft Entra. Provedete to spuštěním následujícího příkazu: Get-MsolFederationProperty. Po zobrazení výzvy zadejte název federované domény.

  5. Pokud chcete aktualizovat informace o certifikátu v MICROSOFT Entra ID, spusťte následující příkaz: Update-MsolFederatedDomain a po zobrazení výzvy zadejte název domény.

    Poznámka:

    Pokud se při spuštění tohoto příkazu zobrazí chyba, spusťte Update-MsolFederatedDomain -SupportMultipleDomain ho a potom na příkazovém řádku zadejte název domény.

Nahrazení certifikátů SSL

Pokud potřebujete kvůli ohrožení zabezpečení nahradit podpisový certifikát tokenu, měli byste také odvolat a nahradit certifikáty SSL (Secure Sockets Layer) pro službu AD FS a servery webových proxy aplikací (WAP).

Odvolání certifikátů SSL musí být provedeno na certifikační autoritě (CA), která certifikát vydala. Tyto certifikáty často vydávají poskytovatelé třetích stran, jako je GoDaddy. Příklad najdete v tématu Odvolání certifikátu | Certifikáty SSL – GoDaddy pomáhají USA. Další informace naleznete v tématu Jak funguje odvolání certifikátu.

Po odvolání starého certifikátu SSL a vydání nového certifikátu můžete nahradit certifikáty SSL. Další informace najdete v tématu Nahrazení certifikátu SSL pro službu AD FS.

Odebrání starých certifikátů

Po nahrazení starých certifikátů byste měli starý certifikát odebrat, protože ho stále můžete použít. Postup:

  1. Ujistěte se, že jste přihlášeni k primárnímu serveru SLUŽBY AD FS.

  2. Spusťte Windows PowerShell jako správce.

  3. Pokud chcete odebrat starý podpisový certifikát tokenu, spusťte:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Aktualizace federačních partnerů, kteří můžou využívat federační metadata

Pokud jste obnovili a nakonfigurovali nový podpisový certifikát tokenu nebo dešifrování tokenů, musíte zajistit, aby nové certifikáty získali všichni vaši federační partneři. Tento seznam obsahuje partnery organizace prostředků nebo organizace účtů, kteří jsou ve službě AD FS reprezentováni vztahy důvěryhodnosti předávající strany a vztahy důvěryhodnosti zprostředkovatele deklarací identity.

Aktualizace federačních partnerů, kteří nemůžou využívat federační metadata

Pokud vaši federační partneři nemohou využívat vaše federační metadata, musíte jim ručně odeslat veřejný klíč nového certifikátu pro podepisování tokenů nebo dešifrování tokenů. Odešlete nový veřejný klíč certifikátu (.cer soubor nebo .p7b, pokud chcete zahrnout celý řetězec) všem partnerům organizace prostředků nebo účtu (reprezentované ve službě AD FS vztahy důvěryhodnosti předávající strany a vztahy důvěryhodnosti zprostředkovatele deklarací). Požádejte partnery, aby na své straně implementovali změny, které důvěřují novým certifikátům.

Odvolání obnovovacích tokenů prostřednictvím PowerShellu

Teď chcete odvolat obnovovací tokeny pro uživatele, kteří je můžou mít, a vynutit, aby se znovu přihlásili a získali nové tokeny. Tím se uživatelé odhlásí ze svých telefonů, aktuálních relací webové pošty a dalších míst, která používají tokeny a obnovovací tokeny. Další informace naleznete v tématu Revoke-AzureADUserAllRefreshToken. Viz také odvolání přístupu uživatele v Microsoft Entra ID.

Poznámka:

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení. Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShell , abyste mohli pracovat s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x msOnline mohou dojít k přerušení po 30. červnu 2024.

Další kroky