Udostępnij za pośrednictwem

Rotacja awaryjne certyfikatów usług AD FS

  • Artykuł

Jeśli musisz natychmiast obrócić certyfikaty usług Active Directory Federation Services (AD FS), możesz wykonać kroki opisane w tym artykule.

Ważne

Rotacja certyfikatów w środowisku usług AD FS odwołuje stare certyfikaty natychmiast, a czas zwykle potrzebny partnerom federacyjnym do korzystania z nowego certyfikatu jest pomijany. Akcja może również spowodować awarię usługi w miarę aktualizowania relacji zaufania w celu używania nowych certyfikatów. Awaria powinna zostać rozwiązana po tym, jak wszyscy partnerzy federacyjni mają nowe certyfikaty.

Uwaga

Zdecydowanie zalecamy używanie sprzętowego modułu zabezpieczeń (HSM) do ochrony i zabezpieczania certyfikatów. Aby uzyskać więcej informacji, zobacz sekcję Sprzętowy moduł zabezpieczeń w najlepszych rozwiązaniach dotyczących zabezpieczania usług AD FS.

Określanie odcisku palca certyfikatu podpisywania tokenu

Aby odwołać stary certyfikat podpisywania tokenu używany obecnie przez usługi AD FS, należy określić odcisk palca certyfikatu podpisywania tokenu. Należy wykonać następujące czynności:

  1. Połączenie do usługi online firmy Microsoft, uruchamiając polecenie w programie PowerShell Connect-MsolService.

  2. Dokumentuj zarówno odcisk palca certyfikatu podpisywania tokenu lokalnego, jak i w chmurze, uruchamiając polecenie Get-MsolFederationProperty -DomainName <domain>.

  3. Skopiuj odcisk palca. Użyjesz go później do usunięcia istniejących certyfikatów.

Odcisk palca można również uzyskać przy użyciu usług AD FS Management. Przejdź do pozycji Certyfikaty usługi>, kliknij prawym przyciskiem myszy certyfikat, wybierz pozycję Wyświetl certyfikat, a następnie wybierz pozycję Szczegóły.

Określanie, czy usługi AD FS odnawiają certyfikaty automatycznie

Domyślnie usługi AD FS są skonfigurowane do automatycznego generowania certyfikatów podpisywania tokenu i odszyfrowywania tokenów. Robi to zarówno podczas początkowej konfiguracji, jak i kiedy certyfikaty zbliżają się do daty wygaśnięcia.

Możesz uruchomić następujące polecenie programu PowerShell: Get-AdfsProperties | FL AutoCert*, Certificate*.

Właściwość AutoCertificateRollover opisuje, czy usługi AD FS są skonfigurowane do automatycznego odnawiania podpisywania tokenu i odszyfrowywania certyfikatów. Wykonaj jedną z następujących czynności:

Jeśli ustawienie AutoCertificateRollover ma wartość TRUE, wygeneruj nowy certyfikat z podpisem własnym

W tej sekcji utworzysz dwa certyfikaty podpisywania tokenów. Pierwszy używa flagi -urgent , która natychmiast zastępuje bieżący certyfikat podstawowy. Drugi jest używany dla certyfikatu pomocniczego.

Ważne

Tworzysz dwa certyfikaty, ponieważ identyfikator Entra firmy Microsoft przechowuje informacje o poprzednim certyfikacie. Tworząc drugi, zmuszasz microsoft Entra ID do wydania informacji o starym certyfikacie i zastąp go informacjami o drugim.

Jeśli nie utworzysz drugiego certyfikatu i zaktualizujesz za jego pomocą identyfikator Entra firmy Microsoft, może być możliwe uwierzytelnienie użytkowników za pomocą starego certyfikatu podpisywania tokenu.

Aby wygenerować nowe certyfikaty podpisywania tokenów, wykonaj następujące czynności:

  1. Upewnij się, że zalogowano się do podstawowego serwera usług AD FS.

  2. Uruchom program Windows PowerShell jako administrator.

  3. Upewnij się, że AutoCertificateRollover jest ustawiona wartość True , uruchamiając polecenie w programie PowerShell:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Aby wygenerować nowy certyfikat podpisywania tokenu, uruchom polecenie:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Sprawdź aktualizację, uruchamiając polecenie:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Teraz wygeneruj drugi certyfikat podpisywania tokenu, uruchamiając polecenie:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. Możesz zweryfikować aktualizację, uruchamiając ponownie następujące polecenie:

    Get-ADFSCertificate -CertificateType Token-Signing

Jeśli dla opcji AutoCertificateRollover ustawiono wartość FALSE, wygeneruj nowe certyfikaty ręcznie

Jeśli nie używasz automatycznie generowanych automatycznie certyfikatów podpisywania tokenu z podpisem własnym i odszyfrowywania tokenów, musisz odnowić i skonfigurować te certyfikaty ręcznie. Obejmuje to utworzenie dwóch nowych certyfikatów podpisywania tokenów i zaimportowanie ich. Następnie należy podwyższyć poziom do podstawowego, odwołać stary certyfikat i skonfigurować drugi certyfikat jako certyfikat pomocniczy.

Najpierw należy uzyskać dwa nowe certyfikaty z urzędu certyfikacji i zaimportować je do magazynu certyfikatów osobistych komputera lokalnego na każdym serwerze federacyjnym. Aby uzyskać instrukcje, zobacz Importowanie certyfikatu.

Ważne

Tworzysz dwa certyfikaty, ponieważ identyfikator Entra firmy Microsoft przechowuje informacje o poprzednim certyfikacie. Tworząc drugi, zmuszasz microsoft Entra ID do wydania informacji o starym certyfikacie i zastąp go informacjami o drugim.

Jeśli nie utworzysz drugiego certyfikatu i zaktualizujesz za jego pomocą identyfikator Entra firmy Microsoft, może być możliwe uwierzytelnienie użytkowników za pomocą starego certyfikatu podpisywania tokenu.

Konfigurowanie nowego certyfikatu jako certyfikatu pomocniczego

Następnie skonfiguruj jeden certyfikat jako pomocniczy certyfikat podpisywania lub odszyfrowywania tokenu usług AD FS, a następnie podwyższ jego poziom do podstawowego.

  1. Po zaimportowaniu certyfikatu otwórz konsolę zarządzania usługAMI AD FS.

  2. Rozwiń węzeł Usługa, a następnie wybierz pozycję Certyfikaty.

  3. W okienku Akcje wybierz pozycję Dodaj certyfikat podpisywania tokenu.

  4. Wybierz nowy certyfikat z listy wyświetlanych certyfikatów, a następnie wybierz przycisk OK.

Podwyższanie poziomu nowego certyfikatu z pomocniczego do podstawowego

Po zaimportowaniu nowego certyfikatu i skonfigurowaniu go w usługach AD FS należy ustawić go jako certyfikat podstawowy.

  1. Otwórz konsolę zarządzania usługAMI AD FS.

  2. Rozwiń węzeł Usługa, a następnie wybierz pozycję Certyfikaty.

  3. Wybierz pomocniczy certyfikat podpisywania tokenu.

  4. W okienku Akcje wybierz pozycję Ustaw jako podstawowy. W wierszu polecenia wybierz pozycję Tak.

  5. Po podwyższeniu poziomu nowego certyfikatu jako certyfikatu podstawowego należy usunąć stary certyfikat, ponieważ nadal może być używany. Aby uzyskać więcej informacji, zobacz sekcję Usuwanie starych certyfikatów .

Aby skonfigurować drugi certyfikat jako certyfikat pomocniczy

Po dodaniu pierwszego certyfikatu, utworzeniu go jako podstawowego i usunięciu starego certyfikatu możesz zaimportować drugi certyfikat. Skonfiguruj certyfikat jako pomocniczy certyfikat podpisywania tokenu usług AD FS, wykonując następujące czynności:

  1. Po zaimportowaniu certyfikatu otwórz konsolę zarządzania usługAMI AD FS.

  2. Rozwiń węzeł Usługa, a następnie wybierz pozycję Certyfikaty.

  3. W okienku Akcje wybierz pozycję Dodaj certyfikat podpisywania tokenu.

  4. Wybierz nowy certyfikat z listy wyświetlanych certyfikatów, a następnie wybierz przycisk OK.

Aktualizowanie identyfikatora Entra firmy Microsoft przy użyciu nowego certyfikatu podpisywania tokenów

  1. Otwórz moduł Azure AD PowerShell. Alternatywnie otwórz program Windows PowerShell, a następnie uruchom Import-Module msonline polecenie .

  2. Połączenie do identyfikatora Entra firmy Microsoft, uruchamiając następujące polecenie:

    Connect-MsolService

  3. Wprowadź poświadczenia Administracja istratora tożsamości hybrydowej.

    Uwaga

    Jeśli uruchamiasz te polecenia na komputerze, który nie jest podstawowym serwerem federacyjnym, najpierw wprowadź następujące polecenie:

    Set-MsolADFSContext -Computer <servername>

    Zastąp <ciąg servername> nazwą serwera usług AD FS, a następnie po wyświetleniu monitu wprowadź poświadczenia administratora dla serwera usług AD FS.

  4. Opcjonalnie sprawdź, czy aktualizacja jest wymagana, sprawdzając bieżące informacje o certyfikacie w identyfikatorze Firmy Microsoft Entra. W tym celu uruchom następujące polecenie: Get-MsolFederationProperty. Wprowadź nazwę domeny federacyjnej po wyświetleniu monitu.

  5. Aby zaktualizować informacje o certyfikacie w identyfikatorze Entra firmy Microsoft, uruchom następujące polecenie: Update-MsolFederatedDomain a następnie wprowadź nazwę domeny po wyświetleniu monitu.

    Uwaga

    Jeśli podczas uruchamiania tego polecenia wystąpi błąd, uruchom Update-MsolFederatedDomain -SupportMultipleDomain polecenie , a następnie w wierszu polecenia wprowadź nazwę domeny.

Zastępowanie certyfikatów SSL

Jeśli musisz zastąpić certyfikat podpisywania tokenów z powodu naruszenia zabezpieczeń, należy również odwołać i zastąpić certyfikaty Secure Sockets Layer (SSL) dla usług AD FS i serwerów sieci Web serwer proxy aplikacji (WAP).

Odwoływanie certyfikatów SSL musi odbywać się w urzędzie certyfikacji, który wystawił certyfikat. Te certyfikaty są często wystawiane przez dostawców innych firm, takich jak GoDaddy. Aby zapoznać się z przykładem, zobacz Odwoływanie certyfikatu | Certyfikaty SSL — GoDaddy — pomoc dla usa. Aby uzyskać więcej informacji, zobacz Jak działa odwołanie certyfikatów.

Po odwołaniu starego certyfikatu SSL i wystawieniu nowego certyfikatu można zastąpić certyfikaty SSL. Aby uzyskać więcej informacji, zobacz Zastępowanie certyfikatu SSL dla usług AD FS.

Usuwanie starych certyfikatów

Po zastąpieniu starych certyfikatów należy usunąć stary certyfikat, ponieważ nadal może być używany. Aby to zrobić:

  1. Upewnij się, że zalogowano się do podstawowego serwera usług AD FS.

  2. Uruchom program Windows PowerShell jako administrator.

  3. Aby usunąć stary certyfikat podpisywania tokenu, uruchom polecenie:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Aktualizowanie partnerów federacyjnych, którzy mogą korzystać z metadanych federacji

Jeśli odnowiono i skonfigurowano nowy certyfikat podpisywania tokenu lub odszyfrowywania tokenu, upewnij się, że wszyscy partnerzy federacyjni pobrali nowe certyfikaty. Ta lista zawiera partnerów organizacji zasobów lub organizacji kont reprezentowanych w usługach AD FS przez zaufania jednostki uzależnionej i zaufania dostawcy oświadczeń.

Aktualizowanie partnerów federacyjnych, którzy nie mogą korzystać z metadanych federacji

Jeśli partnerzy federacyjni nie mogą korzystać z metadanych federacji, należy ręcznie wysłać do nich klucz publiczny nowego certyfikatu podpisywania tokenu/odszyfrowywania tokenów. Wyślij nowy klucz publiczny certyfikatu (plik .cer lub p7b, jeśli chcesz dołączyć cały łańcuch) do wszystkich partnerów organizacji zasobów lub organizacji kont (reprezentowanych w usługach AD FS przez zaufania jednostki uzależnionej i zaufania dostawcy oświadczeń). Partnerzy wdrażają zmiany po swojej stronie, aby ufać nowym certyfikatom.

Odwoływanie tokenów odświeżania za pomocą programu PowerShell

Teraz chcesz odwołać tokeny odświeżania dla użytkowników, którzy mogą je mieć, i wymusić na nich ponowne zalogowanie się i uzyskanie nowych tokenów. Spowoduje to wylogowanie użytkowników z telefonów, bieżących sesji poczty internetowej i innych miejsc korzystających z tokenów i tokenów odświeżania. Aby uzyskać więcej informacji, zobacz Revoke-AzureADUserAllRefreshToken. Zobacz również Odwoływanie dostępu użytkowników w identyfikatorze Entra firmy Microsoft.

Uwaga

Moduły usług Azure AD i MSOnline programu PowerShell są przestarzałe od 30 marca 2024 r. Aby dowiedzieć się więcej, przeczytaj aktualizację o wycofaniu. Po tej dacie obsługa tych modułów jest ograniczona do pomocy dotyczącej migracji do zestawu MICROSOFT Graph PowerShell SDK i poprawek zabezpieczeń. Przestarzałe moduły będą nadal działać do 30 marca 2025 r.

Zalecamy migrację do programu Microsoft Graph PowerShell w celu interakcji z identyfikatorem Entra firmy Microsoft (dawniej Azure AD). W przypadku typowych pytań dotyczących migracji zapoznaj się z często zadawanymi pytaniami dotyczącymi migracji. Uwaga: wersje 1.0.x usługi MSOnline mogą wystąpić zakłócenia po 30 czerwca 2024 r.

Następne kroki