Condividi tramite

Rotazione di emergenza dei certificati AD FS

  • Articolo

Se è necessario ruotare immediatamente i certificati di Active Directory Federation Services (AD FS), è possibile seguire la procedura descritta in questo articolo.

Importante

La rotazione dei certificati nell'ambiente AD FS revoca immediatamente i vecchi certificati e il tempo in genere necessario per utilizzare il nuovo certificato dai partner federatiri viene ignorato. L'azione potrebbe comportare anche un'interruzione del servizio come aggiornamento dei trust per l'uso dei nuovi certificati. L'interruzione deve essere risolta dopo che tutti i partner federativi hanno i nuovi certificati.

Nota

È consigliabile usare un modulo di protezione hardware (HSM) per proteggere e proteggere i certificati. Per altre informazioni, vedere la sezione Modulo di sicurezza hardware nelle procedure consigliate per la protezione di AD FS.

Determinare l'identificazione personale del certificato di firma del token

Per revocare il vecchio certificato di firma del token attualmente in uso da AD FS, è necessario determinare l'identificazione personale del certificato di firma del token. Effettua le operazioni seguenti:

  1. Connessione al servizio Online Microsoft eseguendo in PowerShell Connect-MsolService.

  2. Documentare sia l'identificazione personale del certificato di firma del token locale che le date di scadenza eseguendo Get-MsolFederationProperty -DomainName <domain>.

  3. Copiare l'identificazione personale. Verrà usato in un secondo momento per rimuovere i certificati esistenti.

È anche possibile ottenere l'identificazione personale usando Gestione AD FS. Passare a Certificati di servizio>, fare clic con il pulsante destro del mouse sul certificato, selezionare Visualizza certificato e quindi selezionare Dettagli.

Determinare se AD FS rinnova automaticamente i certificati

Per impostazione predefinita, AD FS è configurato per generare automaticamente i certificati di firma del token e decrittografia dei token. Lo fa sia durante la configurazione iniziale che quando i certificati si avvicinano alla data di scadenza.

È possibile eseguire il comando di PowerShell seguente: Get-AdfsProperties | FL AutoCert*, Certificate*.

La AutoCertificateRollover proprietà descrive se AD FS è configurato per rinnovare automaticamente la firma del token e la decrittografia automatica dei certificati. Effettuare una delle operazioni riportate di seguito:

Se AutoCertificateRollover è impostato su TRUE, generare un nuovo certificato autofirmato

In questa sezione vengono creati due certificati di firma del token. Il primo usa il -urgent flag , che sostituisce immediatamente il certificato primario corrente. Il secondo viene usato per il certificato secondario.

Importante

Si stanno creando due certificati perché Microsoft Entra ID contiene informazioni sul certificato precedente. Creando un secondo, si impone a Microsoft Entra ID di rilasciare informazioni sul vecchio certificato e sostituirlo con le informazioni sul secondo.

Se non si crea il secondo certificato e si aggiorna l'ID di Microsoft Entra con esso, potrebbe essere possibile che il certificato di firma del token precedente esegua l'autenticazione degli utenti.

Per generare i nuovi certificati di firma del token, eseguire le operazioni seguenti:

  1. Assicurarsi di aver eseguito l'accesso al server AD FS primario.

  2. Aprire Windows PowerShell come amministratore.

  3. Assicurarsi che AutoCertificateRollover sia impostato su True eseguendo in PowerShell:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Per generare un nuovo certificato di firma del token, eseguire:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Verificare l'aggiornamento eseguendo:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Generare ora il secondo certificato di firma del token eseguendo:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. È possibile verificare l'aggiornamento eseguendo di nuovo il comando seguente:

    Get-ADFSCertificate -CertificateType Token-Signing

Se AutoCertificateRollover è impostato su FAL edizione Standard, generare manualmente nuovi certificati

Se non si usano i certificati di firma e decrittografia del token autofirmati generati automaticamente, è necessario rinnovare e configurare questi certificati manualmente. In questo modo è necessario creare due nuovi certificati di firma del token e importarli. Alzare di livello uno a primario, revocare il certificato precedente e configurare il secondo certificato come certificato secondario.

Prima di tutto, è necessario ottenere due nuovi certificati dall'autorità di certificazione e importarli nell'archivio certificati personali del computer locale in ogni server federativo. Per istruzioni, vedere Importare un certificato.

Importante

Si stanno creando due certificati perché Microsoft Entra ID contiene informazioni sul certificato precedente. Creando un secondo, si impone a Microsoft Entra ID di rilasciare informazioni sul vecchio certificato e sostituirlo con le informazioni sul secondo.

Se non si crea il secondo certificato e si aggiorna l'ID di Microsoft Entra con esso, potrebbe essere possibile che il certificato di firma del token precedente esegua l'autenticazione degli utenti.

Installare un nuovo certificato come certificato secondario

Configurare quindi un certificato come certificato secondario di firma o decrittografia del token AD FS e quindi alzarlo di livello al certificato primario.

  1. Dopo aver importato il certificato, aprire la console di gestione di AD FS.

  2. Espandere Servizio e quindi selezionare Certificati.

  3. Nel riquadro Azioni selezionare Aggiungi certificato di firma token.

  4. Selezionare il nuovo certificato dall'elenco dei certificati visualizzati e quindi selezionare OK.

Alzare di livello il nuovo certificato da secondario a principale

Dopo aver importato il nuovo certificato e configurato in AD FS, è necessario impostarlo come certificato primario.

  1. Aprire la console Gestione di AD FS.

  2. Espandere Servizio e quindi selezionare Certificati.

  3. Selezionare il certificato di firma del token secondario.

  4. Nel riquadro Azioni selezionare Imposta come primario. Al prompt selezionare .

  5. Dopo aver alzato di livello il nuovo certificato come certificato primario, è necessario rimuovere il certificato precedente perché può ancora essere usato. Per altre informazioni, vedere la sezione Rimuovere i certificati precedenti.

Per configurare il secondo certificato come certificato secondario

Dopo aver aggiunto il primo certificato, renderlo primario e rimosso quello precedente, è possibile importare il secondo certificato. Configurare il certificato come certificato di firma del token AD FS secondario eseguendo le operazioni seguenti:

  1. Dopo aver importato il certificato, aprire la console di gestione di AD FS.

  2. Espandere Servizio e quindi selezionare Certificati.

  3. Nel riquadro Azioni selezionare Aggiungi certificato di firma token.

  4. Selezionare il nuovo certificato dall'elenco dei certificati visualizzati e quindi selezionare OK.

Aggiornare l'ID Microsoft Entra con il nuovo certificato di firma del token

  1. Aprire il modulo Azure AD PowerShell. In alternativa, aprire Windows PowerShell e quindi eseguire il Import-Module msonline comando .

  2. Connessione a Microsoft Entra ID eseguendo il comando seguente:

    Connect-MsolService

  3. Immettere le credenziali dell'identità ibrida Amministrazione istrator.

    Nota

    Se si eseguono questi comandi in un computer che non è il server federativo primario, immettere prima il comando seguente:

    Set-MsolADFSContext -Computer <servername>

    Sostituire <servername> con il nome del server AD FS e quindi, al prompt, immettere le credenziali di amministratore per il server AD FS.

  4. Facoltativamente, verificare se è necessario un aggiornamento controllando le informazioni correnti sul certificato in Microsoft Entra ID. A tale scopo eseguire il comando seguente: Get-MsolFederationProperty. Immettere il nome del dominio federato quando richiesto.

  5. Per aggiornare le informazioni sul certificato in Microsoft Entra ID, eseguire il comando seguente: Update-MsolFederatedDomain e quindi immettere il nome di dominio quando richiesto.

    Nota

    Se viene visualizzato un errore quando si esegue questo comando, eseguire Update-MsolFederatedDomain -SupportMultipleDomain e quindi, al prompt, immettere il nome di dominio.

Sostituire i certificati SSL

Se è necessario sostituire il certificato di firma del token a causa di una compromissione, è necessario revocare e sostituire anche i certificati SSL (Secure Sockets Layer) per AD FS e i server WEB Application Proxy (WAP).

La revoca dei certificati SSL deve essere eseguita presso l'autorità di certificazione (CA) che ha emesso il certificato. Questi certificati vengono spesso rilasciati da provider di terze parti, ad esempio GoDaddy. Per un esempio, vedere Revocare un certificato | Certificati SSL - Guida di GoDaddy negli Stati Uniti. Per altre informazioni, vedere Funzionamento della revoca dei certificati.

Dopo aver revocato il vecchio certificato SSL e ne è stato rilasciato uno nuovo, è possibile sostituire i certificati SSL. Per altre informazioni, vedere Sostituire il certificato SSL per AD FS.

Rimuovere i certificati precedenti

Dopo aver sostituito i certificati precedenti, è necessario rimuovere il certificato precedente perché può ancora essere usato. A questo scopo:

  1. Assicurarsi di aver eseguito l'accesso al server AD FS primario.

  2. Aprire Windows PowerShell come amministratore.

  3. Per rimuovere il certificato di firma del token precedente, eseguire:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Aggiornare i partner federativi che possono utilizzare i metadati della federazione

Se è stato rinnovato e configurato un nuovo certificato di firma o decrittografia di token, è necessario assicurarsi che tutti i partner federativi abbiano prelevato i nuovi certificati. Questo elenco include partner dell'organizzazione delle risorse o dell'organizzazione account rappresentati in AD FS tramite trust della relying party e trust del provider di attestazioni.

Aggiornare i partner federativi che non possono utilizzare i metadati della federazione

Se i partner federativi non possono utilizzare i metadati della federazione, è necessario inviarli manualmente la chiave pubblica del nuovo certificato di firma token/decrittografia del token. Inviare la nuova chiave pubblica del certificato (.cer file o p7b se si vuole includere l'intera catena) a tutti i partner dell'organizzazione delle risorse o dell'organizzazione dell'account (rappresentati in AD FS tramite trust di relying party e trust del provider di attestazioni). Chiedere ai partner di implementare le modifiche sul proprio lato per considerare attendibili i nuovi certificati.

Revocare i token di aggiornamento tramite PowerShell

Ora si vogliono revocare i token di aggiornamento per gli utenti che potrebbero averli e forzarli ad accedere di nuovo e ottenere nuovi token. In questo modo gli utenti vengono disconnessi dai telefoni, dalle sessioni webmail correnti e da altre posizioni che usano token e token di aggiornamento. Per altre informazioni, vedere Revoke-AzureADUserAllRefreshToken. Vedere anche Revocare l'accesso utente in Microsoft Entra ID.

Nota

I moduli Azure AD e MSOnline PowerShell sono deprecati a partire dal 30 marzo 2024. Per maggiori informazioni, leggere l'aggiornamento sulla deprecazione. Dopo questa data, il supporto per questi moduli è limitato all'assistenza alla migrazione a Microsoft Graph PowerShell SDK e alle correzioni di sicurezza. I moduli deprecati continueranno a funzionare fino al 30 marzo 2025.

È consigliabile eseguire la migrazione a Microsoft Graph PowerShell per interagire con Microsoft Entra ID (in precedenza Azure AD). Per domande comuni sulla migrazione, consultare le Domande frequenti sulla migrazione. Nota: le versioni 1.0.x di MSOnline potrebbero subire interruzioni dopo il 30 giugno 2024.

Passaggi successivi