Sdílet prostřednictvím


Aktualizace certifikátu TLS/SSL pro farmu služby AD FS (Active Directory Federation Services)

Přehled

Tento článek popisuje, jak pomocí služby Microsoft Entra Connect aktualizovat certifikát TLS/SSL pro farmu služby Active Directory Federation Services (AD FS). Pomocí nástroje Microsoft Entra Connect můžete snadno aktualizovat certifikát TLS/SSL pro farmu služby AD FS, i když vybraná metoda přihlašování uživatele není ad FS.

Celou operaci aktualizace certifikátu TLS/SSL pro farmu služby AD FS můžete provést ve třech jednoduchých krocích na všech serverech federačních a proxy webových aplikací (WAP):

tři kroky

Poznámka

Další informace o certifikátech používaných službou AD FS najdete v tématu Principy certifikátů používaných službou AD FS.

Požadavky

  • Farma služby AD FS: Ujistěte se, že vaše farma služby AD FS je založená na systému Windows Server 2012 R2 nebo novějším.
  • Microsoft Entra Connect: Ujistěte se, že verze nástroje Microsoft Entra Connect je 1.1.553.0 nebo vyšší. Použijete úlohu Aktualizace certifikátu SSL služby AD FS.

aktualizace úlohy TLS

Krok 1: Zadání informací o farmě služby AD FS

Microsoft Entra Connect se pokusí získat informace o farmě služby AD FS automaticky pomocí:

  1. Dotazování informací farmy ze služby AD FS (Windows Server 2016 nebo novější)
  2. Odkazování na informace z předchozích spuštění, které jsou uloženy místně pomocí microsoft Entra Connect.

Seznam serverů, které se zobrazí, můžete upravit přidáním nebo odebráním serverů tak, aby odrážely aktuální konfiguraci farmy služby AD FS. Jakmile se zobrazí informace o serveru, Microsoft Entra Connect zobrazí stav připojení a aktuálního certifikátu TLS/SSL.

informace o serveru AD FS

Pokud seznam obsahuje server, který už není součástí farmy služby AD FS, klikněte na Odebrat a odstraňte server ze seznamu serverů ve farmě služby AD FS.

offline server v seznamu

Poznámka

Odebrání serveru ze seznamu serverů pro farmu služby AD FS ve službě Microsoft Entra Connect je místní operace a aktualizuje informace pro farmu služby AD FS, kterou microsoft Entra Connect udržuje místně. Microsoft Entra Connect nemění konfiguraci ve službě AD FS tak, aby odrážela změnu.

Krok 2: Zadání nového certifikátu TLS/SSL

Jakmile potvrdíte informace o serverech farmy služby AD FS, microsoft Entra Connect požádá o nový certifikát TLS/SSL. Pokud chcete pokračovat v instalaci, zadejte certifikát PFX chráněný heslem.

certifikátu TLS/SSL

Po zadání certifikátu projde Microsoft Entra Connect řadou požadavků. Ověřte certifikát a ujistěte se, že je certifikát pro farmu služby AD FS správný:

  • Název subjektu nebo alternativní název subjektu pro certifikát je buď stejný jako název federační služby, nebo se jedná o certifikát se zástupným znakem.
  • Certifikát je platný déle než 30 dní.
  • Řetěz důvěryhodnosti certifikátu je platný.
  • Certifikát je chráněný heslem.

Krok 3: Výběr serverů pro aktualizaci

V dalším kroku vyberte servery, které musí mít aktualizovaný certifikát TLS/SSL. Pro aktualizaci nelze vybrat servery, které jsou offline.

Výběr serverů k aktualizaci

Po dokončení konfigurace microsoft Entra Connect zobrazí zprávu, která označuje stav aktualizace a poskytuje možnost ověřit přihlášení ke službě AD FS.

Dokončení konfigurace

Nejčastější dotazy

  • Jaký by měl být název subjektu certifikátu pro nový certifikát TLS/SSL služby AD FS?

    Microsoft Entra Connect zkontroluje, jestli název subjektu nebo alternativní název subjektu certifikátu obsahuje název federační služby. Pokud je například název vaší federační služby fs.contoso.com, musí být název subjektu nebo alternativní název subjektu fs.contoso.com. Certifikáty se zástupným znakem jsou také přijímány.

  • Proč se na stránce serveru WAP znovu zobrazí výzva k zadání přihlašovacích údajů?

    Pokud přihlašovací údaje, které zadáte pro připojení k serverům SLUŽBY AD FS, nemají také oprávnění ke správě serverů WAP, microsoft Entra Connect požádá o přihlašovací údaje, které mají oprávnění správce na serverech WAP.

  • Server se zobrazí jako offline. Co mám dělat?

    Microsoft Entra Connect nemůže provést žádnou operaci, pokud je server offline. Pokud je server součástí farmy služby AD FS, zkontrolujte připojení k serveru. Po vyřešení problému aktualizujte stav v průvodci stisknutím ikony aktualizace. Pokud server byl součástí farmy dříve, ale nyní již neexistuje, klepněte na tlačítko Odebrat jej odstranit ze seznamu serverů, které microsoft Entra Connect udržuje. Odebrání serveru ze seznamu v nástroji Microsoft Entra Connect nemění samotnou konfiguraci služby AD FS. Pokud používáte službu AD FS ve Windows Serveru 2016 nebo novějším, zůstane server v nastavení konfigurace a při příštím spuštění úlohy se znovu zobrazí.

  • Můžu aktualizovat podmnožinu serverů farmy novým certifikátem TLS/SSL?

    Ano. Vždy můžete spustit úlohu aktualizovat certifikát SSL znovu aktualizovat zbývající servery. Na stránce Vyberte servery pro aktualizaci certifikátů SSL můžete seřadit seznam serverů podle data vypršení platnosti certifikátu SSL pro snadný přístup k serverům, které ještě nejsou aktualizovány.

  • Odebral(a) jsem server v předchozím pokusu, ale stále je označen jako offline a uveden na stránce serverů AD FS. Proč je offline server stále tam i po odebrání?

    Odebrání serveru ze seznamu v nástroji Microsoft Entra Connect ho v konfiguraci služby AD FS neodebere. Microsoft Entra Connect odkazuje na službu AD FS (Windows Server 2016 nebo novější) pro všechny informace o farmě. Pokud server stále existuje v konfiguraci služby AD FS, bude uvedený zpět v seznamu.

Další kroky