Delen via

Het TLS/SSL-certificaat voor een AD FS-farm (Active Directory Federation Services) bijwerken

  • Artikel

Overzicht

In dit artikel wordt beschreven hoe u Microsoft Entra Connect kunt gebruiken om het TLS/SSL-certificaat voor een AD FS-farm (Active Directory Federation Services) bij te werken. U kunt het hulpprogramma Microsoft Entra Connect gebruiken om het TLS/SSL-certificaat voor de AD FS-farm eenvoudig bij te werken, zelfs als de geselecteerde aanmeldingsmethode voor de gebruiker niet AD FS is.

U kunt in drie eenvoudige stappen de hele bewerking uitvoeren voor het bijwerken van TLS/SSL-certificaat voor de AD FS-farm op alle federatie- en WAP-servers (Web Application Proxy):

drie stappen

Notitie

Zie Informatie over de certificaten die door AD FS worden gebruiktvoor meer duidelijkheid.

Voorwaarden

  • AD FS-farm: zorg ervoor dat uw AD FS-farm is gebaseerd op Windows Server 2012 R2 of hoger.
  • Microsoft Entra Connect: zorg ervoor dat de versie van Microsoft Entra Connect 1.1.553.0 of hoger is. U gebruikt de taak AD FS SSL-certificaat bijwerken.

TLS-taak bijwerken

Stap 1: AD FS-farmgegevens opgeven

Microsoft Entra Connect probeert automatisch informatie te verkrijgen over de AD FS-farm door:

  1. Query's uitvoeren op de farmgegevens van AD FS (Windows Server 2016 of hoger).
  2. Verwijzen naar de informatie uit eerdere uitvoeringen, die lokaal worden opgeslagen met Microsoft Entra Connect.

U kunt de lijst met servers wijzigen die worden weergegeven door de servers toe te voegen of te verwijderen om de huidige configuratie van de AD FS-farm weer te geven. Zodra de servergegevens zijn opgegeven, geeft Microsoft Entra Connect de connectiviteit en de huidige status van het TLS/SSL-certificaat weer.

AD FS-servergegevens

Als de lijst een server bevat die geen deel meer uitmaakt van de AD FS-farm, klikt u op verwijderen om de server te verwijderen uit de lijst met servers in uw AD FS-farm.

offline server in lijst

Notitie

Het verwijderen van een server uit de lijst met servers voor een AD FS-farm in Microsoft Entra Connect is een lokale bewerking en werkt de informatie bij voor de AD FS-farm die Microsoft Entra Connect lokaal onderhoudt. Microsoft Entra Connect wijzigt de configuratie op AD FS niet om de wijziging weer te geven.

Stap 2: geef een nieuw TLS/SSL-certificaat op

Nadat u de informatie over AD FS-farmservers hebt bevestigd, vraagt Microsoft Entra Connect om het nieuwe TLS/SSL-certificaat. Geef een PFX-certificaat met een wachtwoord op om door te gaan met de installatie.

TLS/SSL-certificaat

Nadat u het certificaat hebt opgegeven, doorloopt Microsoft Entra Connect een reeks vereisten. Controleer of het certificaat juist is voor de AD FS-farm:

  • De onderwerpnaam/alternatieve onderwerpnaam voor het certificaat is hetzelfde als de naam van de federatieservice of het betreft een jokertekencertificaat.
  • Het certificaat is langer dan 30 dagen geldig.
  • De vertrouwensketen van het certificaat is geldig.
  • Het certificaat is beveiligd met een wachtwoord.

Stap 3: Servers voor de update selecteren

Selecteer in de volgende stap de servers waarop het TLS/SSL-certificaat moet worden bijgewerkt. Servers die offline zijn, kunnen niet worden geselecteerd voor de update.

Servers selecteren om bij te werken

Nadat u de configuratie hebt voltooid, geeft Microsoft Entra Connect het bericht weer dat de status van de update aangeeft en biedt een optie om de AD FS-aanmelding te verifiëren.

Configuratie voltooid

Veelgestelde vragen

  • Wat moet de onderwerpnaam van het certificaat zijn voor het nieuwe AD FS TLS/SSL-certificaat?

    Microsoft Entra Connect controleert of de onderwerpnaam/alternatieve onderwerpnaam van het certificaat de naam van de federation-service bevat. Als de naam van de federation-service bijvoorbeeld fs.contoso.com is, moet de onderwerpnaam of alternatieve onderwerpnaam fs.contoso.com zijn. Wildcardcertificaten worden ook geaccepteerd.

  • Waarom heb ik opnieuw om referenties gevraagd op de WAP-serverpagina?

    Als de referenties die u opgeeft voor het maken van verbinding met AD FS-servers niet ook de bevoegdheid hebben om de WAP-servers te beheren, vraagt Microsoft Entra Connect om referenties met beheerdersbevoegdheden op de WAP-servers.

  • De server wordt weergegeven als offline. Wat moet ik doen?

    Microsoft Entra Connect kan geen bewerkingen uitvoeren als de server offline is. Als de server deel uitmaakt van de AD FS-farm, controleert u de verbinding met de server. Nadat u het probleem hebt opgelost, drukt u op het vernieuwingspictogram om de status in de wizard bij te werken. Als de server eerder deel uitmaakt van de farm maar nu niet meer bestaat, klikt u op Verwijderen om deze te verwijderen uit de lijst met servers die Microsoft Entra Connect onderhoudt. Als u de server verwijdert uit de lijst in Microsoft Entra Connect, wordt de AD FS-configuratie zelf niet gewijzigd. Als u AD FS in Windows Server 2016 of hoger gebruikt, blijft de server in de configuratie-instellingen en wordt de volgende keer dat de taak wordt uitgevoerd, opnieuw weergegeven.

  • Kan ik een subset van mijn farmservers bijwerken met het nieuwe TLS/SSL-certificaat?

    Ja. U kunt de taak altijd opnieuw uitvoeren SSL-certificaat bijwerken om de resterende servers bij te werken. Op de pagina Servers selecteren voor het bijwerken van SSL-certificaten pagina kunt u de lijst met servers sorteren op SSL-vervaldatum om eenvoudig toegang te krijgen tot de servers die nog niet zijn bijgewerkt.

  • Ik heb de server in de vorige uitvoering verwijderd, maar deze wordt nog steeds weergegeven als offline en vermeld op de pagina AD FS-servers. Waarom is de offlineserver nog steeds aanwezig, zelfs nadat ik deze heb verwijderd?

    Als u de server verwijdert uit de lijst in Microsoft Entra Connect, wordt deze niet verwijderd in de AD FS-configuratie. Microsoft Entra Connect verwijst naar AD FS (Windows Server 2016 of hoger) voor informatie over de farm. Als de server nog steeds aanwezig is in de AD FS-configuratie, wordt deze weer weergegeven in de lijst.

Volgende stappen