Erneuern von Verbundzertifikaten für Microsoft 365 und Microsoft Entra ID

  • Artikel

Überblick

Für einen erfolgreichen Verbund zwischen Microsoft Entra-ID und Active Directory-Verbunddiensten (AD FS) sollten die Zertifikate, die von AD FS zum Signieren von Sicherheitstoken für Microsoft Entra ID verwendet werden, mit dem in Microsoft Entra ID Konfigurierten übereinstimmen. Jede fehlende Übereinstimmung kann zu einem Bruch der Vertrauensstellung führen. Microsoft Entra ID sorgt für die Synchronisierung dieser Informationen, wenn Sie AD FS und einen Webanwendungsproxy (für Extranetzugriff) bereitstellen.

Hinweis

Dieser Artikel enthält Informationen zur Verwaltung von Verbundzertifikaten. Informationen zur Notfallrotation finden Sie unter Notfallrotation der AD FS-Zertifikate.

Dieser Artikel enthält weitere Informationen zum Verwalten der Tokensignaturzertifikate und zum Synchronisieren der Zertifikate mit Microsoft Entra ID in den folgenden Fällen:

  • Sie stellen den Webanwendungsproxy nicht bereit, und daher sind die Verbundmetadaten nicht im Extranet verfügbar.
  • Sie verwenden nicht die Standardkonfiguration von AD FS für Tokensignaturzertifikate.
  • Sie verwenden einen externen Identitätsanbieter.

Wichtig

Microsoft empfiehlt dringend, ein Hardwaresicherheitsmodul (HSM) zu verwenden, um Zertifikate zu schützen und zu sichern. Weitere Informationen finden Sie in den bewährten Methoden zum Sichern von AD FS im Artikel zu Hardwaresicherheitsmodulen.

Standardkonfiguration von AD FS für Tokensignaturzertifikate

Bei Tokensignatur- und Tokenentschlüsselungszertifikaten handelt es sich in der Regel um selbstsignierte Zertifikate, die ein Jahr lang gültig sind. AD FS enthält standardmäßig einen automatischen Erneuerungsprozess mit der Bezeichnung AutoCertificateRollover. Wenn Sie AD FS 2.0 oder höher verwenden, aktualisieren Microsoft 365 und Microsoft Entra ID das Zertifikat automatisch, bevor es abläuft.

Verlängerungsbenachrichtigung aus dem Microsoft 365 Admin-Center oder per E-Mail

Hinweis

Wenn Sie eine E-Mail mit der Aufforderung erhalten haben, Ihr Zertifikat für Office zu erneuern, können Sie unter Verwalten von Änderungen an Tokensignaturzertifikaten überprüfen, ob Sie Maßnahmen ergreifen müssen. Microsoft ist sich des möglichen Problems bewusst, dass Benachrichtigungen zur Zertifikaterneuerung auch dann gesendet werden, wenn keine Maßnahmen erforderlich sind.

Microsoft Entra ID versucht, die Verbundmetadaten zu überwachen und die Tokensignaturzertifikate wie von diesen Metadaten angegeben zu aktualisieren. 35 Tage vor Ablauf der Tokensignaturzertifikate überprüft Microsoft Entra ID durch Abrufen der Verbundmetadaten, ob neue Zertifikate verfügbar sind.

  • Wenn die Verbundmetadaten und die neuen Zertifikate abgerufen werden können, erhält der Benutzer keine E-Mail-Benachrichtigung.
  • Falls die neuen Tokensignaturzertifikate nicht abgerufen werden können, weil die Verbundmetadaten nicht erreichbar sind oder das automatische Zertifikatrollover nicht aktiviert ist, sendet Microsoft Entra ID eine E-Mail-Benachrichtigung.

Wichtig

Wenn Sie AD FS verwenden, überprüfen Sie zur Gewährleistung der Geschäftskontinuität, ob auf Ihren Servern die folgenden Updates installiert sind, damit keine Authentifizierungsfehler aufgrund von bereits bekannten Problemen auftreten. Dadurch werden bekannte AD FS-Proxyserverprobleme bei dieser Erneuerung und künftigen Erneuerungsperioden vermieden:

Server 2012 R2 – Windows Server May 2014 rollup

Server 2008 R2 und 2012 – Authentication through proxy fails in Windows Server 2012 or Windows 2008 R2 SP1

Überprüfen, ob die Zertifikate aktualisiert werden müssen

Schritt 1: Überprüfen des AutoCertificateRollover-Status

Öffnen Sie auf dem AD FS-Server die PowerShell. Stellen Sie sicher, dass der AutoCertificateRollover-Wert auf „True“ festgelegt ist.

Get-Adfsproperties

AutoCertificateRollover

Hinweis

Führen Sie bei Verwendung von AD FS 2.0 zuerst „Add-Pssnapin Microsoft.Adfs.Powershell“ aus.

Schritt 2: Überprüfen, ob AD FS und Microsoft Entra ID synchronisiert sind

Öffnen Sie auf dem AD FS-Server die MSOnline PowerShell-Eingabeaufforderung, und stellen Sie eine Verbindung mit Microsoft Entra ID her.

Hinweis

MSOL-Cmdlets sind Teil des MSOnline PowerShell-Moduls. Sie können das MSOnline-PowerShell-Modul direkt aus dem PowerShell-Katalog herunterladen.

Install-Module MSOnline

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Stellen Sie mithilfe des MSOnline PowerShell-Moduls eine Verbindung mit Microsoft Entra ID her.

Import-Module MSOnline
Connect-MsolService

Überprüfen Sie, ob die in AD FS und Microsoft Entra ID konfigurierten Zertifikate den Eigenschaften für die angegebene Domäne vertrauen.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Wenn die Fingerabdrücke in beiden Ausgaben übereinstimmen, sind Ihre Zertifikate mit Microsoft Entra ID synchronisiert.

Schritt 3: Überprüfen, ob das Zertifikat bald abläuft

Überprüfen Sie in der Ausgabe von „Get-MsolFederationProperty“ oder „Get-AdfsCertificate“ das Datum unter „Not After“. Wenn das Datum weniger als 35 Tage entfernt ist, sollten Sie Maßnahmen ergreifen.

AutoCertificateRollover Zertifikate, die mit Microsoft Entra ID synchronisiert sind Verbundmetadaten sind öffentlich zugänglich Gültigkeitsdauer Aktion
Ja Ja Ja - Keine Aktion erforderlich. Siehe Automatisches Erneuern von Tokensignaturzertifikaten.
Ja Nein - Weniger als 15 Tage Sofort erneuern. Siehe Manuelles Erneuern von Tokensignaturzertifikaten.
Nein - - Weniger als 35 Tage Sofort erneuern. Siehe Manuelles Erneuern von Tokensignaturzertifikaten.

[-] Unwichtig

Automatisches Erneuern von Tokensignaturzertifikaten (empfohlen)

Sie müssen keine manuellen Schritte ausführen, wenn die beiden folgenden Bedingungen erfüllt sind:

  • Sie haben einen Webanwendungsproxy bereitgestellt, mit dem der Zugriff auf die Verbundmetadaten aus dem Extranet ermöglicht werden kann.
  • Sie verwenden die AD FS-Standardkonfiguration (AutoCertificateRollover ist aktiviert).

Überprüfen Sie Folgendes, um sicherzustellen, dass das Zertifikat automatisch aktualisiert werden kann.

1. Die AD FS-Eigenschaft „AutoCertificateRollover“ muss auf „True“ festgelegt sein. Damit wird angegeben, dass AD FS automatisch neue Tokensignatur- und Tokenentschlüsselungszertifikate generiert, bevor die alten ablaufen.

2. Die AD FS-Verbundmetadaten sind öffentlich zugänglich. Überprüfen Sie, ob die Verbundmetadaten öffentlich zugänglich sind, indem Sie von einem Computer im öffentlichen Internet (außerhalb des Unternehmensnetzwerks) zur folgenden URL navigieren:

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

Dabei wird (your_FS_name) durch den Verbunddiensthostnamen ersetzt, den Ihre Organisation verwendet, z. B. „fs.contoso.com“. Wenn Sie diese beiden Einstellungen erfolgreich überprüfen können, müssen Sie nichts weiter tun.

Beispiel: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Manuelles Erneuern des Tokensignaturzertifikats

Sie können die Tokensignaturzertifikate auch manuell signieren. Beispielsweise funktionieren die folgenden Szenarien unter Umständen besser für die manuelle Erneuerung:

  • Bei den Tokensignaturzertifikaten handelt es sich nicht um selbstsignierte Zertifikate. Die häufigste Ursache hierfür ist, dass Ihre Organisation AD FS-Zertifikate verwaltet, die von einer Organisationszertifizierungsstelle registriert werden.
  • Die Netzwerksicherheit lässt nicht zu, dass die Verbundmetadaten öffentlich zugänglich sind.
  • Sie migrieren die Verbunddomäne von einem vorhandenen Verbunddienst zu einem neuen Verbunddienst.

Wichtig

Wenn Sie eine vorhandene Verbunddomäne zu einem neuen Verbunddienst migrieren, wird empfohlen, die Notfallrotation der AD FS-Zertifikate zu befolgen

In diesen Szenarien müssen Sie bei jeder Aktualisierung der Tokensignaturzertifikate auch die Microsoft 365-Domäne mithilfe des PowerShell-Befehls „Update-MsolFederatedDomain“ aktualisieren.

Schritt 1: Sicherstellen, dass AD FS über neue Tokensignaturzertifikate verfügt

Nicht standardmäßige Konfiguration

Wenn Sie eine nicht dem Standard entsprechende Konfiguration von AD FS nutzen, bei der AutoCertificateRollover auf False festgelegt ist, verwenden Sie wahrscheinlich benutzerdefinierte Zertifikate (nicht selbstsigniert). Weitere Informationen zur Erneuerung der AD FS-Tokensignaturzertifikate finden Sie unter Zertifikatanforderungen für Verbunddienste.

Die Verbundmetadaten sind nicht öffentlich verfügbar.

Wenn AutoCertificateRollover auf True festgelegt ist, aber Ihre Verbundmetadaten nicht öffentlich zugänglich sind, sollten Sie sich zunächst vergewissern, ob von AD FS neue Tokensignaturzertifikate generiert wurden. Überprüfen Sie, ob Sie über neue Tokensignaturzertifikate verfügen, indem Sie die folgenden Schritte ausführen:

  1. Stellen Sie sicher, dass Sie am primären AD FS-Server angemeldet sind.

  2. Überprüfen Sie die aktuellen Signaturzertifikate in AD FS, indem Sie ein PowerShell-Befehlsfenster öffnen und den folgenden Befehl ausführen:

    Get-ADFSCertificate -CertificateType Token-Signing

    Hinweis

    Wenn Sie AD FS 2.0 verwenden, sollten Sie zuerst Add-Pssnapin Microsoft.Adfs.Powershell ausführen.

  3. Sehen Sie sich in der Ausgabe des Befehls die aufgeführten Zertifikate an. Wenn AD FS ein neues Zertifikat generiert hat, sollten Sie zwei Zertifikate in der Ausgabe sehen: Bei einem ist der IsPrimary-Wert True und das NotAfter-Datum liegt innerhalb von 5 Tagen, und beim anderen ist der IsPrimary-Wert False und das NotAfter-Datum liegt etwa ein Jahr in der Zukunft.

  4. Wenn nur ein Zertifikat angezeigt wird und das NotAfter -Datum innerhalb von 5 Tagen liegt, müssen Sie ein neues Zertifikat generieren.

  5. Um ein neues Zertifikat zu generieren, führen Sie an einer PowerShell-Eingabeaufforderung den folgenden Befehl aus: Update-ADFSCertificate -CertificateType Token-Signing.

  6. Überprüfen Sie die Aktualisierung, indem Sie den folgenden Befehl erneut ausführen: Get-ADFSCertificate -CertificateType Token-Signing

Nun sollten zwei Zertifikate aufgeführt werden, bei denen das NotAfter-Datum in etwa ein Jahr in der Zukunft liegt und bei dem der IsPrimary-Wert False lautet.

Schritt 2: Aktualisieren der neuen Tokensignaturzertifikate für die Microsoft 365-Vertrauensstellung

Aktualisieren Sie Microsoft 365 wie folgt mit den neuen Tokensignaturzertifikaten für die Vertrauensstellung.

  1. Öffnen Sie das Azure AD-PowerShell-Modul.
  2. Führen Sie $cred=Get-Credential aus. Wenn Sie dieses Cmdlet zur Eingabe von Anmeldeinformationen auffordert, geben Sie die Anmeldeinformationen Ihres Clouddienstadministrators ein.
  3. Führen Sie Connect-MsolService -Credential $cred aus. Dieses Cmdlet verbindet Sie mit dem Clouddienst. Sie müssen einen Kontext erstellen, der Sie mit dem Clouddienst verbindet, bevor Sie andere Cmdlets ausführen, die vom Tool installiert werden.
  4. Wenn Sie diese Befehle auf einem Computer ausführen, der nicht der primäre AD FS-Verbundserver ist, führen Sie Set-MSOLAdfscontext -Computer <AD FS primary server> aus, wobei <Primärer AD FS-Server> der interne FQDN des primären AD FS-Servers ist. Dieses Cmdlet erstellt einen Kontext, der Sie mit AD FS verbindet.
  5. Führen Sie Update-MSOLFederatedDomain -DomainName <domain> aus. Dieses Cmdlet aktualisiert die Einstellungen von AD FS im Clouddienst und konfiguriert die Vertrauensstellung zwischen den beiden Komponenten.

Hinweis

Wenn Sie mehrere Domänen der obersten Ebene unterstützen müssen, z.B. „contoso.com“ und „fabrikam.com“, müssen Sie den SupportMultipleDomain-Switch mit den Cmdlets verwenden. Weitere Informationen finden Sie unter Unterstützung mehrerer Domänen der obersten Ebene.

Wenn sich Ihr Mandant in einem Verbund mit mehreren Domänen befindet, muss Update-MsolFederatedDomain für alle Domänen ausgeführt werden, die in der Ausgabe von Get-MsolDomain -Authentication Federated aufgeführt sind. Dadurch wird sichergestellt, dass alle Verbunddomänen auf das Tokensignaturzertifikat aktualisiert werden. Sie können dies erreichen, indem Sie Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain } ausführen.

Reparieren der Microsoft Entra ID-Vertrauensstellung mithilfe von Microsoft Entra Connect

Wenn Sie Ihre AD FS-Farm und Microsoft Entra ID-Vertrauensstellung mithilfe von Microsoft Entra Connect konfiguriert haben, können Sie Microsoft Entra Connect verwenden, um zu ermitteln, ob Sie Aktionen für Ihre Tokensignaturzertifikate ergreifen müssen. Falls Sie die Zertifikate erneuern müssen, können Sie dafür Microsoft Entra Connect nutzen.

Weitere Informationen finden Sie unter Reparieren der Vertrauensstellung.

Schritte zur AD FS- und Microsoft Entra-Zertifikataktualisierung

Tokensignaturzertifikate sind X509-Standardzertifikate, mit denen alle Token sicher signiert werden, die vom Verbundserver ausstellt werden. Tokenentschlüsselungszertifikate sind X509-Standardzertifikate, mit denen alle eingehenden Token entschlüsselt werden.

Standardmäßig ist AD FS so konfiguriert, dass die Zertifikate für die Tokensignatur und Tokenentschlüsselung automatisch generiert werden, sowohl bei der Erstkonfiguration als auch zu dem Zeitpunkt, wenn sich die Zertifikate dem Ablaufdatum nähern.

Microsoft Entra versucht 35 Tage vor Ablauf des aktuellen Zertifikats, ein neues Zertifikat von Ihren Verbunddienstmetadaten abzurufen. Falls zu diesem Zeitpunkt kein neues Zertifikat verfügbar ist, setzt Microsoft Entra die Überwachung der Metadaten in regelmäßigen täglichen Intervallen fort. Sobald das neue Zertifikat in den Metadaten verfügbar ist, werden die Verbundeinstellungen für die Domäne mit den neuen Zertifikatsinformationen aktualisiert. Sie können mit Get-MsolDomainFederationSettings überprüfen, ob das neue Zertifikat in NextSigningCertificate/SigningCertificate angezeigt wird.

Weitere Informationen zu Tokensignaturzertifikaten in AD FS finden Sie unter Abrufen und Konfigurieren von Tokensignaturzertifikaten und Tokenentschlüsselungszertifikaten für AD FS