Udostępnij za pośrednictwem

Aktualizowanie certyfikatu TLS/SSL dla farmy usług Active Directory Federation Services (AD FS)

  • Artykuł

Przegląd

W tym artykule opisano sposób aktualizowania certyfikatu TLS/SSL dla farmy usług Active Directory Federation Services (AD FS) za pomocą programu Microsoft Entra Connect. Możesz użyć narzędzia Microsoft Entra Connect, aby łatwo zaktualizować certyfikat TLS/SSL dla farmy usług AD FS, nawet jeśli wybrana metoda logowania użytkownika nie jest usługAMI AD FS.

Cała operacja aktualizowania certyfikatu TLS/SSL dla farmy usług AD FS na wszystkich serwerach federacyjnych i serwerów proxy aplikacji internetowej (WAP) można wykonać w trzech prostych krokach:

trzy kroki

Notatka

Aby dowiedzieć się więcej o certyfikatach używanych przez usługi AD FS, zobacz Zrozumienie certyfikatów używanych przez AD FS.

Warunki wstępne

  • : Upewnij się, że farma usług AD FS jest oparta na systemie Windows Server 2012 R2 lub nowszym.
  • Microsoft Entra Connect: upewnij się, że wersja programu Microsoft Entra Connect to 1.1.553.0 lub nowsza. Użyjesz zadania do zaktualizowania certyfikatu SSL usług AD FS.

zaktualizować zadanie TLS

Krok 1: Dostarcz informacje o farmie AD FS

Microsoft Entra Connect próbuje automatycznie uzyskać informacje o farmie usług AD FS poprzez:

  1. Wykonywanie zapytań dotyczących informacji farmy z usług AD FS (Windows Server 2016 lub nowszych).
  2. Odwoływanie się do informacji z poprzednich przebiegów, które są przechowywane lokalnie w programie Microsoft Entra Connect.

Można zmodyfikować listę serwerów, które są wyświetlane, dodając lub usuwając serwery, aby odzwierciedlać bieżącą konfigurację farmy usług AD FS. Po podaniu informacji o serwerze program Microsoft Entra Connect wyświetla łączność i bieżący stan certyfikatu TLS/SSL.

informacji o serwerze usług AD FS

Jeśli lista zawiera serwer, który nie jest już częścią farmy usług AD FS, kliknij Usuń, aby usunąć serwer z listy serwerów w farmie usług AD FS.

serwer trybu offline na liście

Notatka

Usunięcie serwera z listy serwerów farmy usług AD FS w programie Microsoft Entra Connect jest operacją lokalną i aktualizuje informacje dla farmy usług AD FS, którą firma Microsoft Entra Connect utrzymuje lokalnie. Program Microsoft Entra Connect nie modyfikuje konfiguracji w usługach AD FS w celu odzwierciedlenia zmiany.

Krok 2. Podawanie nowego certyfikatu TLS/SSL

Po potwierdzeniu informacji o serwerach farmy usług AD FS firma Microsoft Entra Connect prosi o nowy certyfikat TLS/SSL. Podaj certyfikat PFX chroniony hasłem, aby kontynuować instalację.

certyfikat TLS/SSL

Po podaniu certyfikatu program Microsoft Entra Connect przechodzi przez szereg wymagań wstępnych. Sprawdź certyfikat, aby upewnić się, że certyfikat jest poprawny dla farmy usług AD FS:

  • Nazwa podmiotu lub alternatywna nazwa podmiotu certyfikatu jest taka sama jak nazwa usługi federacyjnej albo jest to certyfikat wieloznaczny.
  • Certyfikat jest ważny przez ponad 30 dni.
  • Łańcuch zaufania certyfikatów jest prawidłowy.
  • Certyfikat jest chroniony hasłem.

Krok 3. Wybieranie serwerów dla aktualizacji

W następnym kroku wybierz serwery, które muszą mieć zaktualizowany certyfikat TLS/SSL. Nie można wybrać serwerów w trybie offline dla aktualizacji.

Wybieranie serwerów do zaktualizowania

Po zakończeniu konfiguracji program Microsoft Entra Connect wyświetla komunikat wskazujący stan aktualizacji i udostępnia opcję weryfikacji logowania usług AD FS.

Konfiguracja ukończona

Często zadawane pytania

  • Jaka powinna być nazwa podmiotu dla nowego certyfikatu TLS/SSL w usługach AD FS?

    Program Microsoft Entra Connect sprawdza, czy nazwa podmiotu/alternatywna nazwa podmiotu certyfikatu zawiera nazwę usługi federacyjnej. Jeśli na przykład nazwa usługi federacyjnej jest fs.contoso.com, nazwa podmiotu/alternatywna nazwa podmiotu musi być fs.contoso.com. Akceptowane są również certyfikaty typu wildcard.

  • Dlaczego ponownie proszony jestem o podanie poświadczeń na stronie serwera WAP?

    Jeśli poświadczenia podane do nawiązywania połączenia z serwerami usług AD FS nie mają również uprawnień do zarządzania serwerami WAP, firma Microsoft Entra Connect prosi o poświadczenia, które mają uprawnienia administracyjne na serwerach WAP.

  • Serwer jest wyświetlany jako offline. Co należy zrobić?

    Program Microsoft Entra Connect nie może wykonać żadnej operacji, jeśli serwer jest w trybie offline. Jeśli serwer jest częścią farmy usług AD FS, sprawdź łączność z serwerem. Po rozwiązaniu problemu naciśnij ikonę odśwież, aby zaktualizować stan w kreatorze. Jeśli serwer był częścią farmy wcześniej, ale teraz nie istnieje, kliknij przycisk Usuń, aby usunąć go z listy serwerów, które utrzymuje firma Microsoft Entra Connect. Usunięcie serwera z listy w programie Microsoft Entra Connect nie powoduje zmiany samej konfiguracji usług AD FS. Jeśli używasz usług AD FS w systemie Windows Server 2016 lub nowszym, serwer pozostaje w ustawieniach konfiguracji i będzie wyświetlany ponownie przy następnym uruchomieniu zadania.

  • Czy mogę zaktualizować podzestaw serwerów farmy przy użyciu nowego certyfikatu TLS/SSL?

    Tak. Zawsze można uruchomić zadanie, zaktualizować certyfikat SSL ponownie, aby zaktualizować pozostałe serwery. Na stronie Wybieranie serwerów aktualizacji certyfikatów SSL można posortować listę serwerów w data wygaśnięcia protokołu SSL, aby łatwo uzyskać dostęp do serwerów, które nie zostały jeszcze zaktualizowane.

  • Usunąłem serwer w poprzednim przebiegu, ale nadal jest pokazywany jako offline i widnieje na stronie Serwery usług AD FS. Dlaczego serwer offline jest nadal dostępny nawet po usunięciu go?

    Usunięcie serwera z listy w programie Microsoft Entra Connect nie powoduje usunięcia go w konfiguracji usług AD FS. Program Microsoft Entra Connect odwołuje się do usług AD FS (Windows Server 2016 lub nowszych) dla wszelkich informacji o farmie. Jeśli serwer jest nadal obecny w konfiguracji usług AD FS, zostanie wyświetlony z powrotem na liście.

Następne kroki