Freigeben über

Erneuern von Verbundzertifikaten für Microsoft 365 und Microsoft Entra ID

  • Artikel

Überblick

Für einen erfolgreichen Verbund zwischen Microsoft Entra-ID und Active Directory-Verbunddiensten (AD FS) sollten die Zertifikate, die von AD FS zum Signieren von Sicherheitstoken für Microsoft Entra ID verwendet werden, mit dem in Microsoft Entra ID Konfigurierten übereinstimmen. Jede Diskrepanz kann zu gebrochenem Vertrauen führen. Die Microsoft Entra ID stellt sicher, dass diese Informationen synchronisiert werden, wenn Sie AD FS und Web Application Proxy (für Extranetzugriff) implementieren.

Anmerkung

Dieser Artikel enthält Informationen zum Verwalten Ihrer Verbundzertifikate. Informationen zur Notfallrotation finden Sie unter Notfallrotation der AD FS-Zertifikate

Dieser Artikel enthält zusätzliche Informationen zum Verwalten Ihrer Tokensignaturzertifikate und zur Synchronisierung mit der Microsoft Entra-ID in den folgenden Fällen:

  • Sie stellen den Webanwendungsproxy nicht bereit, und daher sind die Verbundmetadaten nicht im Extranet verfügbar.
  • Sie verwenden nicht die Standardkonfiguration von AD FS für Tokensignaturzertifikate.
  • Sie verwenden einen Drittanbieter-Identitätsanbieter.

Wichtig

Microsoft empfiehlt dringend die Verwendung eines Hardware Security Module (HSM), um Zertifikate zu schützen und zu sichern. Weitere Informationen finden Sie unter Hardware Security Module unter bewährten Methoden zum Sichern von AD FS.

Standardkonfiguration von AD FS für Tokensignaturzertifikate

Die Token-Signatur- und Token-Entschlüsselungszertifikate sind in der Regel selbstsignierte Zertifikate und haben eine Gültigkeitsdauer von einem Jahr. AD FS enthält standardmäßig einen automatischen Erneuerungsprozess mit der Bezeichnung AutoCertificateRollover. Wenn Sie AD FS 2.0 oder höher verwenden, aktualisieren Microsoft 365 und Microsoft Entra ID Ihr Zertifikat automatisch, bevor es abläuft.

Verlängerungsbenachrichtigung über das Microsoft 365 Admin Center oder eine E-Mail

Anmerkung

Wenn Sie eine E-Mail erhalten haben, in der Sie aufgefordert werden, Ihr Zertifikat für Office zu verlängern, lesen Sie Verwalten von Änderungen an Tokensignaturzertifikaten, um zu überprüfen, ob Sie Maßnahmen ergreifen müssen. Microsoft ist sich eines möglichen Problems bewusst, das dazu führen kann, dass Benachrichtigungen für die Zertifikatverlängerung gesendet werden, auch wenn keine Aktion erforderlich ist.

Die Microsoft Entra-ID versucht, die Verbundmetadaten zu überwachen und die Tokensignaturzertifikate wie in diesen Metadaten angegeben zu aktualisieren. Fünfunddreißig (35) Tage vor Ablauf der Tokensignaturzertifikate überprüft die Microsoft Entra-ID, ob neue Zertifikate verfügbar sind, indem die Verbundmetadaten abgefragt werden.

  • Wenn die Verbundmetadaten erfolgreich abgerufen und die neuen Zertifikate abgerufen werden können, wird keine E-Mail-Benachrichtigung an den Benutzer ausgegeben.
  • Wenn die neuen Tokensignaturzertifikate nicht abgerufen werden können, weil die Verbundmetadaten nicht erreichbar sind oder der automatische Zertifikatrollover nicht aktiviert ist, gibt die Microsoft Entra-ID eine E-Mail aus.

Wichtig

Wenn Sie AD FS verwenden, um die Geschäftskontinuität zu gewährleisten, stellen Sie bitte sicher, dass Ihre Server über die folgenden Updates verfügen, damit es bei bekannten Problemen nicht zu Authentifizierungsfehlern kommt. Dadurch werden bekannte AD FS-Proxyserverprobleme für diese Verlängerung und zukünftige Verlängerungszeiträume abgemildert:

Server 2012 R2 – Windows Server May 2014 rollup

Server 2008 R2 und 2012 – Authentication through proxy fails in Windows Server 2012 or Windows 2008 R2 SP1

Überprüfen, ob die Zertifikate aktualisiert werden müssen

Schritt 1: Überprüfen des AutoCertificateRollover-Status

Öffnen Sie auf Ihrem AD FS-Server PowerShell. Stellen Sie sicher, dass der AutoCertificateRollover-Wert auf „True“ festgelegt ist.

Get-Adfsproperties

AutoCertificateRollover

Anmerkung

Wenn Sie AD FS 2.0 verwenden, führen Sie zuerst Add-Pssnapin Microsoft.Adfs.Powershell aus.

Schritt 2: Bestätigen Sie, dass AD FS und Microsoft Entra-ID synchronisiert sind

Öffnen Sie auf dem AD FS-Server die MSOnline PowerShell-Eingabeaufforderung, und stellen Sie eine Verbindung mit Microsoft Entra ID her.

Anmerkung

MSOL-Cmdlets sind Teil des MSOnline PowerShell-Moduls. Sie können das MSOnline PowerShell-Modul direkt aus der PowerShell-Gallery herunterladen.

Install-Module MSOnline

Anmerkung

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum sind die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell SDK und Sicherheitsupdates beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, zu Microsoft Graph PowerShell zu migrieren, um mit Microsoft Entra ID (früher Azure AD) zu interagieren. Allgemeine Fragen zur Migration finden Sie unter Häufig gestellte Fragen zur Migration. Hinweis: Version 1.0.x von MSOnline kann nach dem 30. Juni 2024 Störungen erfahren.

Stellen Sie mithilfe des MSOnline PowerShell-Moduls eine Verbindung mit der Microsoft Entra-ID her.

Import-Module MSOnline
Connect-MsolService

Überprüfen Sie die Zertifikate, die in den Vertrauenseigenschaften von AD FS und Microsoft Entra ID für die angegebene Domäne konfiguriert sind.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Wenn die Fingerabdrucke in beiden Ausgaben übereinstimmen, werden Ihre Zertifikate mit Microsoft Entra ID synchronisiert.

Schritt 3: Überprüfen, ob Ihr Zertifikat bald abläuft

Überprüfen Sie in der Ausgabe von „Get-MsolFederationProperty“ oder „Get-AdfsCertificate“ das Datum unter „Not After“. Wenn das Datum weniger als 35 Tage entfernt ist, sollten Sie Maßnahmen ergreifen.

AutoCertificateRollover Zertifikate, die mit Microsoft Entra ID synchronisiert sind Verbundmetadaten sind öffentlich zugänglich Gültigkeit Aktion
Ja Ja Ja - Es ist keine Aktion erforderlich. Siehe Automatisches Erneuern von Tokensignaturzertifikaten.
Ja Nein - Weniger als 15 Tage Sofort verlängern. Siehe Manuelles Erneuern von Tokensignaturzertifikaten.
Nein - - Weniger als 35 Tage Sofort verlängern. Siehe Manuelles Erneuern von Tokensignaturzertifikaten.

[-] Spielt keine Rolle

Automatisches Erneuern des Tokensignaturzertifikats (empfohlen)

Sie müssen keine manuellen Schritte ausführen, wenn beide der folgenden Schritte zutreffen:

  • Sie haben den Webanwendungs-Proxy bereitgestellt, der den Zugriff auf die Verbundmetadaten über das Extranet ermöglichen kann.
  • Sie verwenden die AD FS-Standardkonfiguration (AutoCertificateRollover ist aktiviert).

Überprüfen Sie Folgendes, um zu bestätigen, dass das Zertifikat automatisch aktualisiert werden kann.

1. Die AD FS-Eigenschaft „AutoCertificateRollover“ muss auf „True“ festgelegt sein. Dies gibt an, dass AD FS automatisch neue Tokensignierungs- und Tokenentschlüsselungszertifikate generiert, bevor die alten ablaufen.

2. Die AD FS-Verbundmetadaten sind öffentlich zugänglich. Überprüfen Sie, ob Ihre Verbundmetadaten öffentlich zugänglich sind, indem Sie von einem Computer im öffentlichen Internet (aus dem Unternehmensnetzwerk) zu der folgenden URL navigieren:

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

wobei (your_FS_name) durch den Hostnamen des Verbunddiensts ersetzt wird, den Ihre Organisation verwendet, z. B. fs.contoso.com. Wenn Sie beide Einstellungen erfolgreich überprüfen können, müssen Sie nichts anderes tun.

Beispiel: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Manuelles Erneuern des Tokensignaturzertifikats

Sie können die Tokensignaturzertifikate manuell verlängern. Die folgenden Szenarien können beispielsweise besser für die manuelle Verlängerung funktionieren:

  • Tokensignaturzertifikate sind keine selbstsignierten Zertifikate. Der häufigste Grund dafür ist, dass Ihre Organisation AD FS-Zertifikate verwaltet, die von einer Organisationszertifizierungsstelle registriert sind.
  • Die Netzwerksicherheit lässt nicht zu, dass die Verbundmetadaten öffentlich verfügbar sind.
  • Sie migrieren die Verbunddomäne von einem vorhandenen Verbunddienst zu einem neuen Verbunddienst.

Wichtig

Wenn Sie eine vorhandene Verbunddomäne zu einem neuen Verbunddienst migrieren, wird empfohlen, die Notfallrotation der AD FS-Zertifikate zu befolgen

In diesen Szenarien müssen Sie bei jeder Aktualisierung der Tokensignaturzertifikate auch Ihre Microsoft 365-Domäne mithilfe des PowerShell-Befehls "Update-MsolFederatedDomain" aktualisieren.

Schritt 1: Sicherstellen, dass AD FS über neue Tokensignaturzertifikate verfügt

Nicht standardmäßige Konfiguration

Wenn Sie eine nicht standardmäßige Konfiguration von AD FS verwenden (wobei AutoCertificateRollover- auf Falsefestgelegt ist), verwenden Sie wahrscheinlich benutzerdefinierte Zertifikate (nicht selbstsigniert). Weitere Informationen zum Verlängern der AD FS-Tokensignaturzertifikate finden Sie unter Zertifikatanforderungen für Verbundserver.

Verbundmetadaten sind nicht öffentlich verfügbar

Wenn AutoCertificateRollover auf True festgelegt ist, aber Ihre Verbundmetadaten nicht öffentlich zugänglich sind, sollten Sie sich zunächst vergewissern, ob von AD FS neue Tokensignaturzertifikate generiert werden. Vergewissern Sie sich, dass Sie über neue Tokensignaturzertifikate verfügen, indem Sie die folgenden Schritte ausführen:

  1. Stellen Sie sicher, dass Sie am primären AD FS-Server angemeldet sind.

  2. Überprüfen Sie die aktuellen Signaturzertifikate in AD FS, indem Sie ein PowerShell-Befehlsfenster öffnen und den folgenden Befehl ausführen:

    Get-ADFSCertificate -CertificateType Token-Signing

    Anmerkung

    Wenn Sie AD FS 2.0 verwenden, sollten Sie zuerst Add-Pssnapin Microsoft.Adfs.Powershell ausführen.

  3. Sehen Sie sich in der Ausgabe des Befehls die aufgeführten Zertifikate an. Wenn AD FS ein neues Zertifikat generiert hat, sollten Sie zwei Zertifikate in der Ausgabe sehen: Bei einem ist der IsPrimary-Wert True und das NotAfter-Datum liegt innerhalb von 5 Tagen, und beim anderen ist der IsPrimary-Wert False und das NotAfter-Datum liegt etwa ein Jahr in der Zukunft.

  4. Wenn nur ein Zertifikat angezeigt wird und das NotAfter -Datum innerhalb von 5 Tagen liegt, müssen Sie ein neues Zertifikat generieren.

  5. Führen Sie zum Generieren eines neuen Zertifikats den folgenden Befehl an einer PowerShell-Eingabeaufforderung aus: Update-ADFSCertificate -CertificateType Token-Signing.

  6. Überprüfen Sie das Update, indem Sie den folgenden Befehl erneut ausführen: Get-ADFSCertificate -CertificateType Token-Signing

Nun sollten zwei Zertifikate aufgeführt werden, bei denen das NotAfter-Datum in etwa ein Jahr in der Zukunft liegt und bei dem der IsPrimary-Wert False lautet.

Schritt 2: Aktualisieren der neuen Tokensignaturzertifikate für die Microsoft 365-Vertrauensstellung

Aktualisieren Sie Microsoft 365 wie folgt mit den neuen Tokensignaturzertifikaten für die Vertrauensstellung.

  1. Öffnen Sie das Azure AD PowerShell-Modul.
  2. Führen Sie $cred=Get-Credential aus. Wenn Sie mit diesem Cmdlet zur Eingabe von Anmeldeinformationen aufgefordert werden, geben Sie Die Anmeldeinformationen ihres Clouddienstadministratorkontos ein.
  3. Führen Sie Connect-MsolService -Credential $cred aus. Dieses Cmdlet verbindet Sie mit dem Clouddienst. Das Erstellen eines Kontexts, der Sie mit dem Clouddienst verbindet, ist erforderlich, bevor sie eines der zusätzlichen Cmdlets ausführen, die vom Tool installiert sind.
  4. Wenn Sie diese Befehle auf einem Computer ausführen, der nicht der primäre AD FS-Verbundserver ist, führen Sie Set-MSOLAdfscontext -Computer <AD FS primary server>aus, wobei <der interne FQDN-Name des primären AD FS-Servers> ist. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.
  5. Führen Sie Update-MSOLFederatedDomain -DomainName <domain> aus. Dieses Cmdlet aktualisiert die Einstellungen von AD FS im Clouddienst und konfiguriert die Vertrauensstellung zwischen den beiden Komponenten.

Anmerkung

Wenn Sie mehrere Domänen der obersten Ebene unterstützen müssen, z.B. „contoso.com“ und „fabrikam.com“, müssen Sie den SupportMultipleDomain-Switch mit den Cmdlets verwenden. Weitere Informationen finden Sie unter Unterstützung mehrerer Domänen der obersten Ebene.

Wenn sich Ihr Mandant in einem Verbund mit mehreren Domänen befindet, muss Update-MsolFederatedDomain für alle Domänen ausgeführt werden, die in der Ausgabe von Get-MsolDomain -Authentication Federated aufgeführt sind. Dadurch wird sichergestellt, dass alle Verbunddomänen auf das Token-Signing-Zertifikat aktualisiert werden. Sie können dies erreichen, indem Sie folgendes ausführen: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }

Reparieren der Microsoft Entra ID-Vertrauensstellung mithilfe von Microsoft Entra Connect

Wenn Sie Ihre AD FS-Farm und Microsoft Entra ID-Vertrauensstellung mithilfe von Microsoft Entra Connect konfiguriert haben, können Sie Microsoft Entra Connect verwenden, um zu ermitteln, ob Sie Aktionen für Ihre Tokensignaturzertifikate ergreifen müssen. Wenn Sie die Zertifikate verlängern müssen, können Sie dazu Microsoft Entra Connect verwenden.

Weitere Informationen finden Sie unter Reparieren der Vertrauensstellung.

Schritte zum Aktualisieren von AD FS- und Microsoft Entra-Zertifikaten

Tokensignaturzertifikate sind standardmäßige X509-Zertifikate, die zum sicheren Signieren aller Token verwendet werden, die der Verbundserver ausgibt. Tokenentschlüsselungszertifikate sind standardmäßige X509-Zertifikate, die zum Entschlüsseln eingehender Token verwendet werden.

Standardmäßig ist AD FS so konfiguriert, dass Tokensignierungs- und Tokenentschlüsselungszertifikate automatisch generiert werden, sowohl zur anfänglichen Konfigurationszeit als auch zum Zeitpunkt, an dem sich die Zertifikate dem Ablaufdatum nähern.

Microsoft Entra-ID versucht, ein neues Zertifikat aus den Metadaten Des Verbunddiensts 35 Tage vor Ablauf des aktuellen Zertifikats abzurufen. Falls zu diesem Zeitpunkt kein neues Zertifikat verfügbar ist, überwacht Die Microsoft Entra-ID die Metadaten weiterhin in regelmäßigen täglichen Abständen. Sobald das neue Zertifikat in den Metadaten verfügbar ist, werden die Verbundeinstellungen für die Domäne mit den neuen Zertifikatinformationen aktualisiert. Sie können mit Get-MsolDomainFederationSettings überprüfen, ob das neue Zertifikat in NextSigningCertificate/SigningCertificate angezeigt wird.

Weitere Informationen zu Tokensignaturzertifikaten in AD FS finden Sie unter Abrufen und Konfigurieren von Tokensignierungs- und Tokenentschlüsselungszertifikaten für AD FS-