Het TLS/SSL-certificaat voor een AD FS-farm (Active Directory Federation Services) bijwerken
Overzicht
In dit artikel wordt beschreven hoe u Microsoft Entra Connect kunt gebruiken om het TLS/SSL-certificaat voor een AD FS-farm (Active Directory Federation Services) bij te werken. U kunt het hulpprogramma Microsoft Entra Connect gebruiken om het TLS/SSL-certificaat voor de AD FS-farm eenvoudig bij te werken, zelfs als de geselecteerde aanmeldingsmethode voor de gebruiker niet AD FS is.
U kunt in drie eenvoudige stappen de hele bewerking uitvoeren voor het bijwerken van TLS/SSL-certificaat voor de AD FS-farm op alle federatie- en WAP-servers (Web Application Proxy):
Notitie
Zie Informatie over de certificaten die door AD FS worden gebruiktvoor meer duidelijkheid.
Voorwaarden
- AD FS-farm: zorg ervoor dat uw AD FS-farm is gebaseerd op Windows Server 2012 R2 of hoger.
- Microsoft Entra Connect: zorg ervoor dat de versie van Microsoft Entra Connect 1.1.553.0 of hoger is. U gebruikt de taak AD FS SSL-certificaat bijwerken.
Stap 1: AD FS-farmgegevens opgeven
Microsoft Entra Connect probeert automatisch informatie te verkrijgen over de AD FS-farm door:
- Query's uitvoeren op de farmgegevens van AD FS (Windows Server 2016 of hoger).
- Verwijzen naar de informatie uit eerdere uitvoeringen, die lokaal worden opgeslagen met Microsoft Entra Connect.
U kunt de lijst met servers wijzigen die worden weergegeven door de servers toe te voegen of te verwijderen om de huidige configuratie van de AD FS-farm weer te geven. Zodra de servergegevens zijn opgegeven, geeft Microsoft Entra Connect de connectiviteit en de huidige status van het TLS/SSL-certificaat weer.
Als de lijst een server bevat die geen deel meer uitmaakt van de AD FS-farm, klikt u op verwijderen om de server te verwijderen uit de lijst met servers in uw AD FS-farm.
Notitie
Het verwijderen van een server uit de lijst met servers voor een AD FS-farm in Microsoft Entra Connect is een lokale bewerking en werkt de informatie bij voor de AD FS-farm die Microsoft Entra Connect lokaal onderhoudt. Microsoft Entra Connect wijzigt de configuratie op AD FS niet om de wijziging weer te geven.
Stap 2: geef een nieuw TLS/SSL-certificaat op
Nadat u de informatie over AD FS-farmservers hebt bevestigd, vraagt Microsoft Entra Connect om het nieuwe TLS/SSL-certificaat. Geef een PFX-certificaat met een wachtwoord op om door te gaan met de installatie.
Nadat u het certificaat hebt opgegeven, doorloopt Microsoft Entra Connect een reeks vereisten. Controleer of het certificaat juist is voor de AD FS-farm:
- De onderwerpnaam/alternatieve onderwerpnaam voor het certificaat is hetzelfde als de naam van de federatieservice of het betreft een jokertekencertificaat.
- Het certificaat is langer dan 30 dagen geldig.
- De vertrouwensketen van het certificaat is geldig.
- Het certificaat is beveiligd met een wachtwoord.
Stap 3: Servers voor de update selecteren
Selecteer in de volgende stap de servers waarop het TLS/SSL-certificaat moet worden bijgewerkt. Servers die offline zijn, kunnen niet worden geselecteerd voor de update.
bij te werken
Nadat u de configuratie hebt voltooid, geeft Microsoft Entra Connect het bericht weer dat de status van de update aangeeft en biedt een optie om de AD FS-aanmelding te verifiëren.
Veelgestelde vragen
Wat moet de onderwerpnaam van het certificaat zijn voor het nieuwe AD FS TLS/SSL-certificaat?
Microsoft Entra Connect controleert of de onderwerpnaam/alternatieve onderwerpnaam van het certificaat de naam van de federation-service bevat. Als de naam van de federation-service bijvoorbeeld fs.contoso.com is, moet de onderwerpnaam of alternatieve onderwerpnaam fs.contoso.com zijn. Wildcardcertificaten worden ook geaccepteerd.
Waarom heb ik opnieuw om referenties gevraagd op de WAP-serverpagina?
Als de referenties die u opgeeft voor het maken van verbinding met AD FS-servers niet ook de bevoegdheid hebben om de WAP-servers te beheren, vraagt Microsoft Entra Connect om referenties met beheerdersbevoegdheden op de WAP-servers.
De server wordt weergegeven als offline. Wat moet ik doen?
Microsoft Entra Connect kan geen bewerkingen uitvoeren als de server offline is. Als de server deel uitmaakt van de AD FS-farm, controleert u de verbinding met de server. Nadat u het probleem hebt opgelost, drukt u op het vernieuwingspictogram om de status in de wizard bij te werken. Als de server eerder deel uitmaakt van de farm maar nu niet meer bestaat, klikt u op Verwijderen om deze te verwijderen uit de lijst met servers die Microsoft Entra Connect onderhoudt. Als u de server verwijdert uit de lijst in Microsoft Entra Connect, wordt de AD FS-configuratie zelf niet gewijzigd. Als u AD FS in Windows Server 2016 of hoger gebruikt, blijft de server in de configuratie-instellingen en wordt de volgende keer dat de taak wordt uitgevoerd, opnieuw weergegeven.
Kan ik een subset van mijn farmservers bijwerken met het nieuwe TLS/SSL-certificaat?
Ja. U kunt de taak altijd opnieuw uitvoeren SSL-certificaat bijwerken om de resterende servers bij te werken. Op de pagina Servers selecteren voor het bijwerken van SSL-certificaten pagina kunt u de lijst met servers sorteren op SSL-vervaldatum om eenvoudig toegang te krijgen tot de servers die nog niet zijn bijgewerkt.
Ik heb de server in de vorige uitvoering verwijderd, maar deze wordt nog steeds weergegeven als offline en vermeld op de pagina AD FS-servers. Waarom is de offlineserver nog steeds aanwezig, zelfs nadat ik deze heb verwijderd?
Als u de server verwijdert uit de lijst in Microsoft Entra Connect, wordt deze niet verwijderd in de AD FS-configuratie. Microsoft Entra Connect verwijst naar AD FS (Windows Server 2016 of hoger) voor informatie over de farm. Als de server nog steeds aanwezig is in de AD FS-configuratie, wordt deze weer weergegeven in de lijst.