Udostępnij za pośrednictwem

Rotacja awaryjna certyfikatów usług AD FS

  • Artykuł

Jeśli musisz natychmiast zaktualizować certyfikaty usług Active Directory Federation Services (AD FS), możesz wykonać kroki opisane w tym artykule.

Ważny

Rotacja certyfikatów w środowisku usług AD FS odwołuje stare certyfikaty natychmiast, a czas zwykle potrzebny partnerom federacyjnym do korzystania z nowego certyfikatu jest pomijany. Akcja może również spowodować awarię usługi, gdy zaufane relacje są aktualizowane w celu używania nowych certyfikatów. Awaria powinna zostać rozwiązana po tym, jak wszyscy partnerzy federacyjni mają nowe certyfikaty.

Notatka

Zdecydowanie zalecamy używanie sprzętowego modułu zabezpieczeń (HSM) do ochrony i zabezpieczania certyfikatów. Aby uzyskać więcej informacji, zobacz sekcję Sprzętowy moduł zabezpieczeń w najlepszych praktykach dotyczących zabezpieczania usług AD FS.

Określ odcisk palca certyfikatu podpisywania tokenu

Aby odwołać stary certyfikat podpisywania tokenu używany obecnie przez usługi AD FS, należy określić odcisk palca certyfikatu podpisywania tokenu. Wykonaj następujące czynności:

  1. Aby połączyć się z usługą Microsoft Online, uruchom PowerShell Connect-MsolService.

  2. Dokumentuj zarówno odcisk palca, jak i daty wygaśnięcia Certyfikatu podpisu tokenu w środowisku lokalnym i w chmurze, uruchamiając Get-MsolFederationProperty -DomainName <domain>.

  3. Skopiuj odcisk palca. Użyjesz go później do usunięcia istniejących certyfikatów.

Odcisk palca można również uzyskać przy użyciu usług AD FS Management. Przejdź do usługi >Certificates, kliknij prawym przyciskiem myszy certyfikat, wybierz pozycję Wyświetl certyfikat, a następnie wybierz pozycję Szczegóły.

Określanie, czy usługi AD FS odnawiają certyfikaty automatycznie

Domyślnie usługi AD FS są skonfigurowane do automatycznego generowania certyfikatów podpisywania tokenu i odszyfrowywania tokenów. Robi to zarówno podczas początkowej konfiguracji, jak i kiedy certyfikaty zbliżają się do daty wygaśnięcia.

Możesz uruchomić następujące polecenie programu PowerShell: Get-AdfsProperties | FL AutoCert*, Certificate*.

Właściwość AutoCertificateRollover opisuje, czy usługi AD FS są skonfigurowane do automatycznego odnawiania podpisywania tokenu i odszyfrowywania certyfikatów. Wykonaj jedną z następujących czynności:

Jeśli ustawienie AutoCertificateRollover ma wartość TRUE, wygeneruj nowy certyfikat z podpisem własnym

W tej sekcji utworzysz dwa certyfikaty podpisywania tokenów. Pierwszy używa flagi -urgent, która natychmiast zastępuje bieżący certyfikat podstawowy. Drugi jest używany dla certyfikatu pomocniczego.

Ważny

Tworzysz dwa certyfikaty, ponieważ identyfikator Entra firmy Microsoft przechowuje informacje o poprzednim certyfikacie. Tworząc drugi, zmuszasz Microsoft Entra ID do wydania informacji o starym certyfikacie i zastąpienia go informacjami o drugim.

Jeśli nie utworzysz drugiego certyfikatu i zaktualizujesz za jego pomocą identyfikator Entra firmy Microsoft, może być możliwe uwierzytelnienie użytkowników za pomocą starego certyfikatu podpisywania tokenu.

Aby wygenerować nowe certyfikaty podpisywania tokenów, wykonaj następujące czynności:

  1. Upewnij się, że zalogowano się do podstawowego serwera usług AD FS.

  2. Otwórz program Windows PowerShell jako administrator.

  3. Upewnij się, że AutoCertificateRollover jest ustawiona na True, uruchamiając polecenie w programie PowerShell:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Aby wygenerować nowy certyfikat podpisywania tokenu, uruchom polecenie:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Sprawdź aktualizację, uruchamiając:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Teraz wygeneruj drugi certyfikat podpisu tokenu, uruchamiając poniższe polecenie:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. Możesz zweryfikować aktualizację, uruchamiając ponownie następujące polecenie:

    Get-ADFSCertificate -CertificateType Token-Signing

Jeśli dla opcji AutoCertificateRollover ustawiono wartość FALSE, wygeneruj nowe certyfikaty ręcznie

Jeśli nie używasz domyślnie generowanych automatycznie certyfikatów podpisywania tokenu z podpisem własnym oraz certyfikatów deszyfrowania tokenów, musisz odnowić i skonfigurować te certyfikaty ręcznie. Obejmuje to utworzenie dwóch nowych certyfikatów podpisywania tokenów i zaimportowanie ich. Następnie należy podwyższyć poziom do podstawowego, odwołać stary certyfikat i skonfigurować drugi certyfikat jako certyfikat pomocniczy.

Najpierw należy uzyskać dwa nowe certyfikaty z urzędu certyfikacji i zaimportować je do magazynu certyfikatów osobistych komputera lokalnego na każdym serwerze federacyjnym. Aby uzyskać instrukcje, zobacz Importowanie certyfikatu.

Ważny

Tworzysz dwa certyfikaty, ponieważ identyfikator Entra firmy Microsoft przechowuje informacje o poprzednim certyfikacie. Tworząc drugi, zmuszasz Microsoft Entra ID do wydania informacji o starym certyfikacie i zastąpienia go informacjami o drugim.

Jeśli nie utworzysz drugiego certyfikatu i zaktualizujesz za jego pomocą identyfikator Entra firmy Microsoft, może być możliwe uwierzytelnienie użytkowników za pomocą starego certyfikatu podpisywania tokenu.

Konfigurowanie nowego certyfikatu jako certyfikatu pomocniczego

Następnie skonfiguruj jeden certyfikat jako pomocniczy certyfikat podpisywania lub odszyfrowywania tokenu usług AD FS, a następnie podwyższ jego poziom do podstawowego.

  1. Po zaimportowaniu certyfikatu otwórz konsolę Zarządzania AD FS .

  2. Rozwiń Service, a następnie wybierz Certificates.

  3. W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Signing.

  4. Wybierz nowy certyfikat z listy wyświetlanych certyfikatów, a następnie wybierz pozycję OK.

Promowanie nowego certyfikatu z poziomu sekundarnego do podstawowego

Po zaimportowaniu nowego certyfikatu i skonfigurowaniu go w usługach AD FS należy ustawić go jako certyfikat podstawowy.

  1. Otwórz konsolę zarządzania usługami AD FS.

  2. Rozwiń Service, a następnie wybierz Certificates.

  3. Wybierz pomocniczy certyfikat podpisywania tokenu.

  4. W okienku Akcje wybierz pozycję Ustaw jako podstawowy. W wierszu polecenia wybierz pozycję Tak.

  5. Po podwyższeniu poziomu nowego certyfikatu jako certyfikatu podstawowego należy usunąć stary certyfikat, ponieważ nadal może być używany. Aby uzyskać więcej informacji, zobacz sekcję Usuwanie starych certyfikatów.

Aby skonfigurować drugi certyfikat jako certyfikat pomocniczy

Po dodaniu pierwszego certyfikatu, utworzeniu go jako podstawowego i usunięciu starego certyfikatu możesz zaimportować drugi certyfikat. Skonfiguruj certyfikat jako pomocniczy certyfikat podpisywania tokenu usług AD FS, wykonując następujące czynności:

  1. Po zaimportowaniu certyfikatu otwórz konsolę Zarządzania AD FS .

  2. Rozwiń Service, a następnie wybierz Certificates.

  3. W okienku Akcje wybierz pozycję Dodaj certyfikat Token-Signing.

  4. Wybierz nowy certyfikat z listy wyświetlanych certyfikatów, a następnie wybierz pozycję OK.

Aktualizowanie identyfikatora Entra firmy Microsoft przy użyciu nowego certyfikatu podpisywania tokenów

  1. Otwórz moduł Azure AD PowerShell. Alternatywnie otwórz program Windows PowerShell, a następnie uruchom polecenie Import-Module msonline.

  2. Połącz się z identyfikatorem Entra firmy Microsoft, uruchamiając następujące polecenie:

    Connect-MsolService

  3. Wprowadź poświadczenia administratora tożsamości hybrydowej.

    Notatka

    Jeśli uruchamiasz te polecenia na komputerze, który nie jest podstawowym serwerem federacyjnym, najpierw wprowadź następujące polecenie:

    Set-MsolADFSContext -Computer <servername>

    Zastąp <nazwa_serwera> nazwą serwera usług AD FS, a następnie w wierszu polecenia wprowadź poświadczenia administratora dla serwera usług AD FS.

  4. Opcjonalnie sprawdź, czy aktualizacja jest wymagana, sprawdzając bieżące informacje o certyfikacie w identyfikatorze Firmy Microsoft Entra. W tym celu uruchom następujące polecenie: Get-MsolFederationProperty. Wprowadź nazwę domeny federacyjnej, gdy zostaniesz o to poproszony.

  5. Aby zaktualizować informacje o certyfikacie w identyfikatorze Entra firmy Microsoft, uruchom następujące polecenie: Update-MsolFederatedDomain, a następnie wprowadź nazwę domeny po wyświetleniu monitu.

    Notatka

    Jeśli podczas uruchamiania tego polecenia wystąpi błąd, uruchom polecenie Update-MsolFederatedDomain -SupportMultipleDomain, a następnie w wierszu polecenia wprowadź nazwę domeny.

Zastępowanie certyfikatów SSL

Jeśli musisz zastąpić certyfikat podpisywania tokenu z powodu naruszenia zabezpieczeń, należy również odwołać i zastąpić certyfikaty Secure Sockets Layer (SSL) dla usług AD FS i serwerów proxy aplikacji internetowej (WAP).

Odwoływanie certyfikatów SSL musi odbywać się w urzędzie certyfikacji, który wystawił certyfikat. Te certyfikaty są często wystawiane przez dostawców innych firm, takich jak GoDaddy. Przykład, zobacz Cofnięcie certyfikatu | Certyfikaty SSL — Pomoc GoDaddy US. Aby uzyskać więcej informacji, zobacz Jak działa odwołanie certyfikatów.

Po odwołaniu starego certyfikatu SSL i wystawieniu nowego certyfikatu można zastąpić certyfikaty SSL. Aby uzyskać więcej informacji, zobacz Wymiana certyfikatu SSL dla AD FS.

Usuwanie starych certyfikatów

Po zastąpieniu starych certyfikatów należy usunąć stary certyfikat, ponieważ nadal może być używany. W tym celu:

  1. Upewnij się, że zalogowano się do podstawowego serwera usług AD FS.

  2. Otwórz program Windows PowerShell jako administrator.

  3. Aby usunąć stary certyfikat podpisywania tokenu, uruchom polecenie:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Aktualizowanie partnerów federacyjnych, którzy mogą korzystać z metadanych federacji

Jeśli odnowiono i skonfigurowano nowy certyfikat podpisywania tokenu lub odszyfrowywania tokenu, upewnij się, że wszyscy partnerzy federacyjni pobrali nowe certyfikaty. Ta lista zawiera partnerów organizacji zasobów lub kont, które są reprezentowane w usługach AD FS przez zaufania stron polegających i zaufania dostawcy oświadczeń.

Aktualizowanie partnerów federacyjnych, którzy nie mogą korzystać z metadanych federacji

Jeśli partnerzy federacyjni nie mogą korzystać z metadanych federacji, należy ręcznie wysłać do nich klucz publiczny nowego certyfikatu podpisywania tokenu/odszyfrowywania tokenów. Wyślij nowy klucz publiczny certyfikatu (plik .cer lub p7b, jeśli chcesz dołączyć cały łańcuch) do wszystkich partnerów organizacji zasobów lub organizacji kont użytkowników (reprezentowanych w usługach AD FS przez zaufania podmiotów korzystających i zaufania dostawcy deklaracji). Niech partnerzy wprowadzą zmiany po swojej stronie, aby zaufać nowym certyfikatom.

Odwoływanie tokenów odświeżania za pomocą programu PowerShell

Teraz chcesz odwołać tokeny odświeżania dla użytkowników, którzy mogą je mieć, i wymusić na nich ponowne zalogowanie się i uzyskanie nowych tokenów. Spowoduje to wylogowanie użytkowników z telefonów, bieżących sesji poczty internetowej i innych miejsc korzystających z tokenów i tokenów odświeżania. Aby uzyskać więcej informacji, zobacz Revoke-EntraUserAllRefreshToken. Zobacz również Odwołaj dostęp użytkownika w Microsoft Entra ID.

Następne kroki