Compartilhar via

Rotação de emergência de certificados do AD FS

  • Artigo

Se você precisar girar os certificados dos Serviços de Federação do Active Directory (AD FS) imediatamente, siga as etapas deste artigo.

Importante

Girar certificados no ambiente do AD FS revoga imediatamente os certificados antigos e o tempo que normalmente leva para seus parceiros de federação consumirem seu novo certificado é ignorado. A ação também pode resultar em uma interrupção de serviço enquanto as relações de confiança são atualizadas para usar os novos certificados. A interrupção deve ser solucionada depois que todos os parceiros de federação tiverem os novos certificados.

Observação

Nós recomendamos fortemente o uso de um HSM (Módulo de Segurança de Hardware) para proteger os certificados. Para obter mais informações, confira a seçãoMódulo de Segurança de Hardware nas melhores práticas para proteger o AD FS.

Determinar a impressão digital do Certificado de Autenticação de Tokens

Para revogar o antigo Certificado de Autenticação de Tokens que o AD FS está usando atualmente, você precisa determinar a impressão digital desse certificado. Faça o seguinte:

  1. Conecte-se ao Microsoft Online Service executando o PowerShell Connect-MsolService.

  2. Documente as datas de validade e a impressão digital do Certificado de Autenticação de Tokens local e na nuvem executando Get-MsolFederationProperty -DomainName <domain>.

  3. Copie a impressão digital. Ela será usada posteriormente para remover os certificados existentes.

Você também pode obter a impressão digital usando o Gerenciamento do AD FS. Acesse Serviços>Certificados, clique com o botão direito do mouse no certificado, selecione Exibir certificado e escolha Detalhes.

Determinar se o AD FS renova os certificados automaticamente

Por padrão, o AD FS é configurado para gerar automaticamente certificados de assinatura e de descriptografia de token. Ele faz isso durante a configuração inicial e quando os certificados estão se aproximando da data de validade.

Você pode executar o seguinte comando do PowerShell: Get-AdfsProperties | FL AutoCert*, Certificate*.

A propriedade AutoCertificateRollover descreve se o AD FS está configurado para renovar automaticamente os certificados de autenticação e de descriptografia de tokens. Siga um destes procedimentos:

Se AutoCertificateRollover estiver definido como TRUE, gere um novo certificado autoassinado

Nesta seção, você criará dois certificados de autenticação de tokens. O primeiro usa o sinalizador -urgent, que substitui o certificado primário atual imediatamente. O segundo é usado para o certificado secundário.

Importante

Você está criando dois certificados porque o Microsoft Entra ID mantém as informações sobre o certificado anterior. Ao criar um segundo, você estará forçando o Microsoft Entra ID a liberar as informações sobre o certificado antigo e substituí-las pelas informações sobre o segundo.

Se você não criar o segundo certificado e atualizar o Microsoft Entra ID com ele, pode ser possível que o antigo certificado de assinatura de token autentique os usuários.

Para gerar os novos certificados de autenticação de tokens, faça o seguinte:

  1. Verifique se você fez logon no servidor primário do AD FS.

  2. Abra o Windows PowerShell como administrador.

  3. Certifique-se de que AutoCertificateRollover esteja definido como True executando o PowerShell:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Para gerar um novo certificado de autenticação de tokens, execute:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Verifique a atualização executando:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Agora, gere o segundo certificado de autenticação de tokens executando:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. Execute novamente o comando a seguir para verificar a atualização:.

    Get-ADFSCertificate -CertificateType Token-Signing

Se AutoCertificateRollover estiver definido como FALSE, gere novos certificados manualmente

Se você não estiver usando os certificados padrão de autenticação e descriptografia de tokens autoassinados que são gerados automaticamente, será necessário renová-los e configurá-los manualmente. Isso envolve criar e importar dois certificados de autenticação de tokens. Em seguida, promova um a primário, revogue o certificado antigo e configure o segundo certificado como secundário.

Em primeiro lugar, você deve obter dois novos certificados da sua autoridade de certificação e importá-los para o repositório de certificados pessoais do computador local em cada servidor de federação. Para obter instruções, confira Importar um certificado.

Importante

Você está criando dois certificados porque o Microsoft Entra ID mantém as informações sobre o certificado anterior. Ao criar um segundo, você estará forçando o Microsoft Entra ID a liberar as informações sobre o certificado antigo e substituí-las pelas informações sobre o segundo.

Se você não criar o segundo certificado e atualizar o Microsoft Entra ID com ele, pode ser possível que o antigo certificado de assinatura de token autentique os usuários.

Configurar um novo certificado como secundário

Em seguida, configure um certificado como o certificado secundário de autenticação ou de descriptografia de tokens do AD FS e depois promova-o para primário.

  1. Depois de importar o certificado, abra o console de Gerenciamento do AD FS.

  2. Expanda Serviço e selecione Certificados.

  3. No painel Ações, selecione Adicionar Certificado de Autenticação de Tokens.

  4. Selecione o novo certificado na lista de certificados exibidos e escolha OK.

Promoção do novo certificado de secundário para primário

Agora que o novo certificado foi importado e configurado no AD FS, você precisa defini-lo como certificado primário.

  1. Abra o console do Gerenciamento do AD FS.

  2. Expanda Serviço e selecione Certificados.

  3. Selecione o certificado de autenticação de token secundário.

  4. No painel Ações, selecione Definir como Primário. No prompt, selecione Sim.

  5. Depois de promover o novo certificado a primário, você deve remover o certificado antigo porque ele ainda pode ser usado. Para obter mais informações, confira a seção Remover seus certificados antigos.

Para configurar o segundo certificado como secundário

Agora que já adicionou o primeiro certificado, tornou-o primário e removeu o antigo, você pode importar o segundo certificado. Configure-o como o certificado de autenticação de tokens secundário do AD FS fazendo o seguinte:

  1. Depois de importar o certificado, abra o console de Gerenciamento do AD FS.

  2. Expanda Serviço e selecione Certificados.

  3. No painel Ações, selecione Adicionar Certificado de Autenticação de Tokens.

  4. Selecione o novo certificado na lista de certificados exibidos e escolha OK.

Atualizar a ID do Microsoft Entra com o novo certificado de assinatura de token

  1. Abra o módulo do PowerShell do Azure AD. Como alternativa, abra o Windows PowerShell e execute o comando Import-Module msonline.

  2. Conecte-se à ID do Microsoft Entra executando o seguinte comando:

    Connect-MsolService

  3. Insira suas credenciais de Administrador de Identidade Híbrida.

    Observação

    Se você estiver executando esses comandos em um computador que não seja o servidor de federação primário, primeiro insira o seguinte comando:

    Set-MsolADFSContext -Computer <servername>

    Substitua <servername> pelo nome do servidor do AD FS e, no prompt, insira as credenciais de administrador para o servidor do AD FS.

  4. Como alternativa, verifique se é necessária uma atualização conferindo as informações sobre o certificado atual na ID do Microsoft Entra. Para fazer isso, execute o seguinte comando: Get-MsolFederationProperty. Quando solicitado, insira o nome do domínio federado.

  5. Para atualizar as informações do certificado na ID do Microsoft Entra, execute o comando Update-MsolFederatedDomain e, quando solicitado, insira o nome de domínio.

    Observação

    Se você receber um erro ao executar esse comando, execute Update-MsolFederatedDomain -SupportMultipleDomain e, no prompt, insira o nome de domínio.

Substituir certificados SSL

Caso precise substituir seu certificado de autenticação de tokens por causa de um comprometimento, você também deve revogar e substituir os certificados SSL (Secure Sockets Layer) do AD FS e os servidores WAP (Proxy de Aplicativo Web).

A revogação dos certificados SSL deve ser feita na CA (autoridade de certificação) que emitiu o certificado. Esses certificados geralmente são emitidos por provedores terceirizados, como a GoDaddy. Para ver um exemplo, confira Revogar um certificado | Certificados SSL ‒ Ajuda do GoDaddy, em inglês. Para obter mais informações, confira Como funciona a revogação de certificados.

Você poderá substituir os certificados SSL depois que o certificado SSL antigo tiver sido revogado e um novo emitido. Para obter mais informações, confira Substituir o certificado SSL para o AD FS.

Remover certificados antigos

Após substituir os certificados antigos você deve removê-los, pois eles ainda podem ser usados. Para fazer isso:

  1. Verifique se você fez logon no servidor primário do AD FS.

  2. Abra o Windows PowerShell como administrador.

  3. Para remover o certificado de autenticação de tokens antigo, execute:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Atualizar parceiros de federação que podem consumir metadados federados

Se você renovou e configurou um novo certificado de assinatura ou de descriptografia de token, verifique se todos seus parceiros de federação obtiveram os novos certificados. Essa lista inclui parceiros da organização de recursos ou da organização de contas que são representados no AD FS por relações de confiança com terceira parte confiável e com provedor de declarações.

Atualizar parceiros de federação que não podem consumir metadados federados

Se os seus parceiros de federação não puderem consumir metadados federados, você deve enviar manualmente a eles a chave pública do novo certificado de autenticação/descriptografia de tokens. Envie a chave pública do novo certificado (arquivo. cer ou. p7b, caso queira incluir toda a cadeia) a todos os parceiros da organização de contas ou de recursos (representados no AD FS por relações de confiança com terceira parte confiável e com provedor de declarações). Faça com que os parceiros implementem as alterações necessárias no lado deles para confiar nos novos certificados.

Revogar os tokens de atualização por meio do PowerShell

Agora você deseja revogar os tokens de atualização para usuários que podem tê-los e forçar esses usuários a fazer logon novamente e obter novos tokens. Isso desconectará os usuários dos telefones deles, bem como das sessões de webmail atuais e de outros lugares que usem tokens e tokens de atualização. Para obter mais informações, confira Revoke-AzureADUserAllRefreshToken. Consulte também Revogar o acesso do usuário na ID do Microsoft Entra.

Observação

Os módulos Azure AD e MSOnline PowerShell estão preteridos desde 30 de março de 2024. Para saber mais, leia a atualização de preterição. Após essa data, o suporte a esses módulos se limitará à assistência à migração para o SDK do Microsoft Graph PowerShell e às correções de segurança. Os módulos preteridos continuarão funcionando até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (antigo Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas Frequentes sobre Migração. Observação: as versões 1.0.x do MSOnline poderão sofrer interrupções após 30 de junho de 2024.

Próximas etapas