Поделиться через

Обновление TLS/SSL-сертификата для фермы служб федерации Active Directory (AD FS)

  • Статья

Обзор

В этой статье описывается, как использовать Microsoft Entra Connect для обновления TLS/SSL-сертификата для фермы служб федерации Active Directory (AD FS). С помощью средства Microsoft Entra Connect можно легко обновить TLS/SSL-сертификат для фермы AD FS, даже если выбранный метод входа для пользователей не является AD FS.

Вы можете выполнить всю операцию обновления TLS/SSL-сертификата для фермы AD FS на всех серверах федерации и прокси веб-приложения (WAP) в трех простых шагах:

Три шага

Заметка

Дополнительные сведения о сертификатах, используемых AD FS, см. в статье Общие сведения о сертификатах, используемыхAD FS.

Необходимые условия

  • ферма AD FS: Убедитесь, что ваша ферма AD FS работает на основе Windows Server 2012 R2 или более поздней версии.
  • Microsoft Entra Connect: убедитесь, что версия Microsoft Entra Connect — 1.1.553.0 или более поздняя. Вы будете использовать задачу обновить SSL-сертификат AD FS.

обновление задачи TLS

Шаг 1. Предоставление сведений о ферме AD FS

Microsoft Entra Connect пытается автоматически получить сведения о ферме AD FS:

  1. Запрос сведений о ферме из AD FS (Windows Server 2016 или более поздней версии).
  2. Ссылка на сведения из предыдущих запусков, которые хранятся локально с помощью Microsoft Entra Connect.

Список серверов, отображаемых, можно изменить, добавив или удалив серверы, чтобы отразить текущую конфигурацию фермы AD FS. После предоставления сведений о сервере Microsoft Entra Connect отображает подключение и текущее состояние TLS/SSL-сертификата.

сведения о сервере AD FS

Если список содержит сервер, который больше не входит в ферму AD FS, щелкните Удалить, чтобы удалить сервер из списка серверов в ферме AD FS.

автономный сервер в списке

Заметка

Удаление сервера из списка серверов для фермы AD FS в Microsoft Entra Connect является локальной операцией и обновляет сведения для фермы AD FS, которую Microsoft Entra Connect поддерживает локально. Microsoft Entra Connect не изменяет конфигурацию в AD FS, чтобы отразить это изменение.

Шаг 2. Предоставление нового СЕРТИФИКАТА TLS/SSL

После подтверждения сведений о серверах фермы AD FS Microsoft Entra Connect запрашивает новый TLS/SSL-сертификат. Предоставьте защищенный паролем PFX-сертификат для продолжения установки.

TLS/SSL-сертификат

После предоставления сертификата Microsoft Entra Connect проходит ряд предварительных требований. Проверьте сертификат, чтобы убедиться, что сертификат является правильным для фермы AD FS:

  • Имя субъекта или альтернативное имя субъекта для сертификата совпадает с именем службы федерации либо сертификат является подстановочным.
  • Сертификат действителен более 30 дней.
  • Цепочка доверия сертификата действительна.
  • Сертификат защищен паролем.

Шаг 3. Выбор серверов для обновления

На следующем шаге выберите серверы, необходимые для обновления TLS/SSL-сертификата. Серверы, которые находятся в автономном режиме, не могут быть выбраны для обновления.

Выбор серверов для обновления

После завершения настройки Microsoft Entra Connect отображает сообщение, указывающее состояние обновления и предоставляющее возможность проверить вход AD FS.

конфигурация завершена

Часто задаваемые вопросы

  • Какое должно быть имя субъекта для нового сертификата AD FS TLS/SSL?

    Microsoft Entra Connect проверяет, содержит ли имя субъекта или альтернативное имя субъекта сертификата имя службы федерации. Например, если имя службы федерации fs.contoso.com, имя субъекта/альтернативное имя субъекта должно быть fs.contoso.com. Также принимаются wildcard-сертификаты.

  • Почему я снова запрашиваю учетные данные на странице сервера WAP?

    Если учетные данные, предоставляемые для подключения к серверам AD FS, также не имеют привилегий для управления серверами WAP, Microsoft Entra Connect запрашивает учетные данные, имеющие права администратора на серверах WAP.

  • Сервер отображается как вне сети. Что мне делать?

    Microsoft Entra Connect не может выполнять никаких операций, если сервер находится в автономном режиме. Если сервер входит в ферму AD FS, проверьте подключение к серверу. После устранения проблемы нажмите значок обновления, чтобы обновить состояние мастера. Если сервер был частью фермы ранее, но теперь больше не существует, щелкните Удалить, чтобы удалить его из списка серверов, которые поддерживает Microsoft Entra Connect. Удаление сервера из списка в Microsoft Entra Connect не изменяет саму конфигурацию AD FS. Если вы используете AD FS в Windows Server 2016 или более поздней версии, сервер остается в параметрах конфигурации и будет отображаться снова при следующем запуске задачи.

  • Можно ли обновить подмножество серверов фермы с новым СЕРТИФИКАТом TLS/SSL?

    Да. Вы всегда можете запустить задачу обновить SSL-сертификат еще раз, чтобы обновить оставшиеся серверы. На странице Выбор серверов обновления SSL-сертификата можно отсортировать список серверов по дате истечения срока действия SSL , чтобы легко получить доступ к серверам, которые еще не обновлены.

  • Я удалил сервер в предыдущем запуске, но он по-прежнему отображается как автономный и указан на странице серверов AD FS. Почему автономный сервер по-прежнему существует даже после удаления?

    Удаление сервера из списка в Microsoft Entra Connect не удаляет его в конфигурации AD FS. Microsoft Entra Connect ссылается на AD FS (Windows Server 2016 или более поздней версии) для получения сведений о ферме. Если сервер по-прежнему присутствует в конфигурации AD FS, он будет указан обратно в списке.

Дальнейшие действия