Sdílet prostřednictvím

Prodloužení platnosti federačních certifikátů pro Microsoft 365 a Microsoft Entra ID

  • Článek

Přehled

Pro úspěšnou federaci mezi Microsoft Entra ID a službou AD FS (Active Directory Federation Services) by certifikáty používané službou AD FS k podepisování tokenů zabezpečení do Microsoft Entra ID měly odpovídat konfiguraci v Microsoft Entra ID. Jakákoli neshoda může vést k narušení důvěryhodnosti. MICROSOFT Entra ID zajišťuje, že tyto informace se budou synchronizovat při nasazení služby AD FS a proxy webových aplikací (pro přístup k extranetu).

Poznámka

Tento článek obsahuje informace o správě vašich federačních certifikátů. Informace o tísňové rotaci najdete viz Tísňová rotace certifikátů služby AD FS

Tento článek obsahuje další informace pro správu podpisových certifikátů tokenů a jejich synchronizaci s ID Microsoft Entra v následujících případech:

  • Proxy webových aplikací nenasazujete, a proto nejsou metadata federace v extranetu dostupná.
  • Pro podpisové certifikáty tokenů nepoužíváte výchozí konfiguraci služby AD FS.
  • Používáte zprostředkovatele identity třetí strany.

Důležitý

Microsoft důrazně doporučuje používat modul hardwarového zabezpečení (HSM) k ochraně a zabezpečení certifikátů. Další informace najdete v tématu modul hardwarového zabezpečení v rámci osvědčených postupů pro zabezpečení služby AD FS.

Výchozí konfigurace služby AD FS pro podpisové certifikáty tokenů

Podpisové a dešifrující certifikáty tokenů jsou obvykle certifikáty podepsané svým držitelem a jsou vhodné pro jeden rok. Služba AD FS ve výchozím nastavení obsahuje proces automatického prodlužování s názvem AutoCertificateRollover. Pokud používáte AD FS 2.0 nebo novější, Microsoft 365 a Microsoft Entra ID automaticky aktualizují certifikát před vypršením jeho platnosti.

Oznámení o prodloužení platnosti z Centra pro správu Microsoftu 365 nebo e-mailu

Poznámka

Pokud jste dostali e-mail s žádostí o obnovení certifikátu pro Office, přečtěte si téma Správa změn podpisových certifikátů tokenů a zkontrolujte, jestli potřebujete provést nějakou akci. Společnost Microsoft si je vědoma možného problému, který může vést k oznámením o odesílání prodloužení platnosti certifikátu, a to i v případě, že není nutná žádná akce.

Microsoft Entra ID se pokusí monitorovat metadata federace a aktualizovat podpisové certifikáty tokenu, jak je uvedeno v těchto metadatech. Třicet pět (35) dnů před vypršením platnosti podpisových certifikátů tokenů kontroluje ID Microsoft Entra, jestli jsou nové certifikáty k dispozici dotazováním federačních metadat.

  • Pokud se může úspěšně dotazovat na metadata federace a načíst nové certifikáty, uživateli se nevystaví žádné e-mailové oznámení.
  • Pokud nemůže načíst nové podpisové certifikáty tokenů, protože federační metadata nejsou dostupná nebo automatická obnova certifikátu není povolená, Microsoft Entra ID odešle e-mail.

Důležitý

Pokud používáte službu AD FS, pro zajištění provozní kontinuity ověřte, že vaše servery mají následující aktualizace, aby nebyly způsobeny selhání ověřování v důsledku známých problémů. Tím se zmírní známé problémy proxy serveru služby AD FS pro toto prodloužení a budoucí prodlužovací období.

Server 2012 R2 - kumulativní aktualizace Windows Serveru z května 2014

Server 2008 R2 a 2012 – ověřování prostřednictvím proxy serveru selže v systému Windows Server 2012 nebo Windows Server 2008 R2 SP1

Zkontrolujte, jestli je potřeba aktualizovat certifikáty

Krok 1: Kontrola stavu AutoCertificateRollover

Na serveru AD FS otevřete PowerShell. Zkontrolujte, jestli je hodnota AutoCertificateRollover nastavená na Hodnotu True.

Get-Adfsproperties

AutoCertificateRollover

Poznámka

Pokud používáte SLUŽBU AD FS 2.0, nejprve spusťte Add-Pssnapin Microsoft.Adfs.PowerShell.

Krok 2: Ověřte, že se synchronizují AD FS a Microsoft Entra ID

Na serveru AD FS otevřete příkazový řádek MSOnline PowerShellu a připojte se k Microsoft Entra ID.

Poznámka

MSOL-Cmdlets jsou součástí modulu MSOnline PowerShell. Modul MSOnline PowerShell můžete stáhnout přímo z PowerShell Gallery.

Install-Module MSOnline

Poznámka

Moduly Azure AD a MSOnline PowerShell jsou od 30. března 2024 zastaralé. Další informace najdete v aktualizaci vyřazení . Po tomto datu je podpora těchto modulů omezená na pomoc s migrací na sadu Microsoft Graph PowerShell SDK a opravy zabezpečení. Zastaralé moduly budou dál fungovat až do 30. března 2025.

Doporučujeme migrovat na Microsoft Graph PowerShellu pro interakci s Microsoft Entra ID (dříve Azure AD). Běžné dotazy k migraci najdete v nejčastějších dotazech k migraci. Poznámka: Verze 1.0.x MSOnline mohou být narušeny po 30. červnu 2024.

Připojte se k ID Microsoft Entra pomocí modulu MSOnline PowerShell-Module.

Import-Module MSOnline
Connect-MsolService

Zkontrolujte certifikáty nakonfigurované ve vlastnostech důvěryhodnosti AD FS a Microsoft Entra ID pro zadanou doménu.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Pokud se kryptografické otisky v obou výstupech shodují, vaše certifikáty se synchronizují s ID Microsoft Entra.

Krok 3: Kontrola, jestli platnost vašeho certifikátu brzy vyprší

Ve výstupu příkazu buď Get-MsolFederationProperty, nebo Get-AdfsCertificate zkontrolujte datum v části "Not After." Pokud je datum méně než 35 dní vzdálené, měli byste podniknout kroky.

Automatické obnovení certifikátu (AutoCertificateRollover) Certifikáty synchronizované s Microsoft Entra ID Federační metadata jsou veřejně přístupná Platnost Akce
Ano Ano Ano - Není potřeba žádná akce. Viz Obnovení podpisového certifikátu tokenu automaticky.
Ano Ne - Méně než 15 dní Prodlužte okamžitě. Viz Obnovení podpisového certifikátu tokenu ručně.
Ne - - Méně než 35 dní Prodlužte okamžitě. Viz Obnovení podpisového certifikátu tokenu ručně.

[-] Nezáleží

Automatické obnovení podpisového certifikátu tokenu (doporučeno)

Pokud jsou splněné obě tyto podmínky, nemusíte provádět žádné ruční kroky:

  • Nasadili jste proxy webových aplikací, který umožňuje přístup k federačním metadatům z extranetu.
  • Používáte výchozí konfiguraci služby AD FS (je povolená funkce AutoCertificateRollover).

Zkontrolujte následující informace a ověřte, že se certifikát dá automaticky aktualizovat.

1. Vlastnost AD FS AutoCertificateRollover musí být nastavena na Hodnotu True. To znamená, že služba AD FS automaticky generuje nové podpisové a dešifrovací certifikáty tokenů před vypršením platnosti starých tokenů.

2. Federační metadata služby AD FS jsou veřejně přístupná. Zkontrolujte, jestli jsou vaše federační metadata veřejně přístupná, a to tak, že přejdete na následující adresu URL z počítače na veřejném internetu (mimo podnikovou síť):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

kde se (your_FS_name) nahradí názvem hostitele federační služby, který vaše organizace používá, například fs.contoso.com. Pokud můžete úspěšně ověřit obě tato nastavení, nemusíte dělat nic jiného.

Příklad: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Ruční obnovení podpisového certifikátu tokenu

Podpisové certifikáty tokenu můžete obnovit ručně. Například pro ruční prodlužování platnosti můžou fungovat lépe následující scénáře:

  • Podpisové certifikáty tokenů nejsou certifikáty podepsané svým držitelem. Nejčastějším důvodem je, že vaše organizace spravuje certifikáty služby AD FS zaregistrované z certifikační autority organizace.
  • Zabezpečení sítě neumožňuje, aby federační metadata byla veřejně dostupná.
  • Migrujete federovanou doménu z existující federační služby do nové federační služby.

Důležitý

Pokud migrujete existující federovanou doménu na novou federační službu, doporučuje se řídit podle nouzová rotace certifikátů AD FS

V těchto scénářích musíte při každé aktualizaci podpisových certifikátů tokenů aktualizovat také svoji doménu Microsoftu 365 pomocí příkazu PowerShellu Update-MsolFederatedDomain.

Krok 1: Ujistěte se, že služba AD FS obsahuje nové podpisové certifikáty tokenů.

jiné než výchozí konfigurace

Pokud používáte nestandardní konfiguraci služby AD FS (kde AutoCertificateRollover je nastavena na False), pravděpodobně používáte vlastní certifikáty (ne samo-podepsané). Další informace o obnovení podpisových certifikátů tokenů služby AD FS najdete v tématu Požadavky na certifikát pro federované servery.

federační metadata nejsou veřejně dostupná

Pokud je autocertificateRollover nastavená na True, ale vaše federační metadata nejsou veřejně přístupná, nejprve se ujistěte, že služba AD FS generuje nové podpisové certifikáty tokenů. Potvrďte, že máte nové podpisové certifikáty tokenů, a to pomocí následujících kroků:

  1. Ověřte, že jste přihlášeni k primárnímu serveru AD FS.

  2. Aktuální podpisové certifikáty ve službě AD FS zkontrolujte otevřením příkazového okna PowerShellu a spuštěním následujícího příkazu:

    Get-ADFSCertificate -CertificateType Token-Signing

    Poznámka

    Pokud používáte službu AD FS 2.0, měli byste nejprve spustit Add-Pssnapin Microsoft.Adfs.Powershell.

  3. Prohlédněte si výstup příkazu u všech uvedených certifikátů. Pokud služba AD FS vygenerovala nový certifikát, měli byste ve výstupu vidět dva certifikáty: jeden, pro který je hodnota IsPrimaryTrue a NotAfter datum je do 5 dnů a jedno, pro které IsPrimary je False a NotAfter je přibližně rok v budoucnu.

  4. Pokud se zobrazí jenom jeden certifikát a datum NotAfter je do 5 dnů, musíte vygenerovat nový certifikát.

  5. Pokud chcete vygenerovat nový certifikát, spusťte na příkazovém řádku PowerShellu následující příkaz: Update-ADFSCertificate -CertificateType Token-Signing.

  6. Znovu ověřte aktualizaci spuštěním následujícího příkazu: Get-ADFSCertificate -CertificateType Token-Signing

Nyní by měly být uvedeny dva certifikáty, z nichž jeden má NotAfter datum přibližně jednoho roku v budoucnu a pro který je hodnota IsPrimaryFalse.

Krok 2: Aktualizovat nové tokeny podpisových certifikátů pro důvěryhodnost Microsoft 365

Následujícím způsobem aktualizujte Microsoft 365 pomocí nových certifikátů pro podepisování tokenů, které se použijí pro důvěru.

  1. Otevřete modul Azure AD PowerShell.
  2. Spusťte $cred=Get-Credential. Když vás tato rutina vyzve k zadání přihlašovacích údajů, zadejte přihlašovací údaje účtu správce cloudové služby.
  3. Spusťte Connect-MsolService -Credential $cred. Tento cmdlet vás připojí ke cloudové službě. Vytvoření kontextu, který vás připojí ke cloudové službě, se vyžaduje před spuštěním některé z dalších rutin nainstalovaných nástrojem.
  4. Pokud tyto příkazy spouštíte na počítači, který není primárním federačním serverem služby AD FS, spusťte Set-MSOLAdfscontext -Computer <AD FS primary server>, kde <primárního serveru služby AD FS> je interní název plně kvalifikovaného názvu domény primárního serveru SLUŽBY AD FS. Tato rutina vytvoří kontext, který vás připojí ke službě AD FS.
  5. Spusťte Update-MSOLFederatedDomain -DomainName <domain>. Tato rutina aktualizuje nastavení ze služby AD FS do cloudové služby a nakonfiguruje vztah důvěryhodnosti mezi těmito dvěma službami.

Poznámka

Pokud potřebujete podporovat více domén nejvyšší úrovně, jako jsou contoso.com a fabrikam.com, musíte použít přepínač SupportMultipleDomain se všemi rutinami. Další informace najdete v tématu Podpora více domén nejvyšší úrovně.

Pokud je váš tenant federovaný s více než jednou doménou, je potřeba spustit Update-MsolFederatedDomain pro všechny domény uvedené ve výstupu z Get-MsolDomain -Authentication Federated. Tím zajistíte, že se všechny federované domény aktualizují na certifikát Token-Signing. Toho dosáhnete spuštěním příkazu: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }

Oprava důvěryhodnosti ID Microsoft Entra pomocí nástroje Microsoft Entra Connect

Pokud jste nakonfigurovali farmu služby AD FS a vztah důvěryhodnosti Microsoft Entra ID pomocí nástroje Microsoft Entra Connect, můžete pomocí nástroje Microsoft Entra Connect zjistit, jestli potřebujete provést nějakou akci pro podpisové certifikáty tokenu. Pokud potřebujete obnovit certifikáty, můžete k tomu použít Microsoft Entra Connect.

Další informace naleznete v tématu Oprava důvěry.

Kroky aktualizace certifikátu AD FS a Microsoft Entra

Podpisové certifikáty tokenů jsou standardní certifikáty X509, které slouží k bezpečnému podepsání všech tokenů, které federační server vydává. Dešifrovací certifikáty tokenů jsou standardní certifikáty X509, které slouží k dešifrování všech příchozích tokenů.

Ve výchozím nastavení je služba AD FS nakonfigurovaná tak, aby automaticky vygenerovala certifikáty podepisování tokenů a dešifrování tokenů, a to jak v počáteční době konfigurace, tak v době, kdy se certifikáty blíží jejich datu vypršení platnosti.

Microsoft Entra ID se pokusí načíst nový certifikát z metadat federační služby 35 dní před vypršením platnosti aktuálního certifikátu. V případě, že v té době není k dispozici nový certifikát, bude ID Microsoft Entra nadále monitorovat metadata v pravidelných denních intervalech. Jakmile bude nový certifikát k dispozici v metadatech, aktualizují se nastavení federace pro doménu informacemi o novém certifikátu. Pomocí Get-MsolDomainFederationSettings můžete ověřit, jestli se nový certifikát zobrazí v objektu NextSigningCertificate / SigningCertificate.

Další informace o podpisových certifikátech tokenů ve službě AD FS najdete v tématu Získání a konfigurace podpisových a dešifračních certifikátů tokenů pro službu AD FS