Aktualizace certifikátu TLS/SSL pro farmu Active Directory Federation Services (AD FS) (AD FS)
Přehled
Tento článek popisuje, jak můžete použít Microsoft Entra Připojení k aktualizaci certifikátu TLS/SSL pro farmu Active Directory Federation Services (AD FS) (AD FS). Pomocí nástroje Microsoft Entra Připojení můžete snadno aktualizovat certifikát TLS/SSL pro farmu služby AD FS, i když vybraná metoda přihlašování uživatele není ad FS.
Celou operaci aktualizace certifikátu TLS/SSL pro farmu SLUŽBY AD FS můžete provést ve třech jednoduchých krocích na všech federačních serverech a webových proxy aplikací (WAP):
Poznámka:
Další informace o certifikátech používaných službou AD FS najdete v tématu Principy certifikátů používaných službou AD FS.
Požadavky
- Farma služby AD FS: Ujistěte se, že je vaše farma služby AD FS založená na systému Windows Server 2012 R2 nebo novější.
- Microsoft Entra Připojení: Ujistěte se, že verze microsoft Entra Připojení je 1.1.553.0 nebo vyšší. Použijete úlohu Aktualizace certifikátu SSL služby AD FS.
Krok 1: Zadání informací o farmě služby AD FS
Microsoft Entra Připojení se pokusí získat informace o farmě služby AD FS automaticky pomocí:
- Dotazování informací farmy ze služby AD FS (Windows Server 2016 nebo novější)
- Odkazování na informace z předchozích spuštění, které jsou uloženy místně s Microsoft Entra Připojení.
Seznam serverů, které se zobrazí, můžete upravit přidáním nebo odebráním serverů tak, aby odrážely aktuální konfiguraci farmy služby AD FS. Jakmile se zobrazí informace o serveru, Microsoft Entra Připojení zobrazí stav připojení a aktuálního certifikátu TLS/SSL.
Pokud seznam obsahuje server, který už není součástí farmy služby AD FS, kliknutím na tlačítko Odebrat odstraníte server ze seznamu serverů ve farmě služby AD FS.
Poznámka:
Odebrání serveru ze seznamu serverů pro farmu SLUŽBY AD FS v Microsoft Entra Připojení je místní operace a aktualizuje informace pro farmu služby AD FS, kterou microsoft Entra Připojení udržuje místně. Microsoft Entra Připojení nezmění konfiguraci ve službě AD FS tak, aby odrážela změnu.
Krok 2: Zadání nového certifikátu TLS/SSL
Po potvrzení informací o serverech farmy služby AD FS společnost Microsoft Entra Připojení požádá o nový certifikát TLS/SSL. Pokud chcete pokračovat v instalaci, zadejte certifikát PFX chráněný heslem.
Jakmile certifikát zadáte, microsoft Entra Připojení projde řadou požadavků. Ověřte certifikát a ujistěte se, že je certifikát pro farmu služby AD FS správný:
- Název subjektu nebo alternativní název subjektu pro certifikát je buď stejný jako název federační služby, nebo se jedná o certifikát se zástupným znakem.
- Certifikát je platný déle než 30 dní.
- Řetěz důvěryhodnosti certifikátu je platný.
- Certifikát je chráněný heslem.
Krok 3: Výběr serverů pro aktualizaci
V dalším kroku vyberte servery, které musí mít aktualizovaný certifikát TLS/SSL. Pro aktualizaci nelze vybrat servery, které jsou offline.
Po dokončení konfigurace microsoft Entra Připojení zobrazí zprávu, která indikuje stav aktualizace a poskytuje možnost ověřit přihlášení služby AD FS.
Nejčastější dotazy k
Jaký by měl být název subjektu certifikátu pro nový certifikát TLS/SSL služby AD FS?
Microsoft Entra Připojení zkontroluje, jestli název subjektu nebo alternativní název subjektu certifikátu obsahuje název federační služby. Pokud je například název vaší federační služby fs.contoso.com, musí být název subjektu nebo alternativní název subjektu fs.contoso.com. Certifikáty se zástupnými cardmi jsou také přijímány.
Proč jsem znovu vyzván(a) k zadání přihlašovacích údajů na stránce serveru WAP?
Pokud přihlašovací údaje, které zadáte pro připojení k serverům AD FS, nemají také oprávnění ke správě serverů WAP, microsoft Entra Připojení požádá o přihlašovací údaje, které mají oprávnění správce na serverech WAP.
Server se zobrazí jako offline. Co mám dělat?
Microsoft Entra Připojení nemůže provést žádnou operaci, pokud je server offline. Pokud je server součástí farmy služby AD FS, zkontrolujte připojení k serveru. Po vyřešení problému aktualizujte stav v průvodci stisknutím ikony aktualizace. Pokud byl server součástí farmy dříve, ale nyní již neexistuje, kliknutím na tlačítko Odebrat jej odstraňte ze seznamu serverů, které společnost Microsoft Entra Připojení udržuje. Odebrání serveru ze seznamu v Microsoft Entra Připojení nemění samotnou konfiguraci služby AD FS. Pokud používáte službu AD FS ve Windows Serveru 2016 nebo novějším, zůstane server v nastavení konfigurace a při příštím spuštění úlohy se znovu zobrazí.
Můžu aktualizovat podmnožinu serverů farmy novým certifikátem TLS/SSL?
Ano. Pokud chcete aktualizovat zbývající servery, můžete vždy spustit úlohu Aktualizovat certifikát SSL znovu. Na stránce Vybrat servery pro aktualizaci certifikátů SSL můžete seřadit seznam serverů s datem vypršení platnosti protokolu SSL, abyste mohli snadno získat přístup k serverům, které ještě nejsou aktualizované.
Odebral(a) jsem server v předchozím spuštění, ale stále se zobrazuje jako offline a uvedený na stránce Servery SLUŽBY AD FS. Proč je offline server stále tam i po odebrání?
Odebrání serveru ze seznamu v Microsoft Entra Připojení ho v konfiguraci služby AD FS neodebere. Microsoft Entra Připojení odkazuje na službu AD FS (Windows Server 2016 nebo novější) pro všechny informace o farmě. Pokud server stále existuje v konfiguraci služby AD FS, bude uvedený zpět v seznamu.