Freigeben über


Notfallrotation von AD FS-Zertifikaten

Wenn Sie die Active Directory-Verbundzertifikate (AD FS) sofort rotieren müssen, können Sie die Schritte in diesem Artikel ausführen.

Wichtig

Durch das Rotieren von Zertifikaten in der AD FS-Umgebung werden die alten Zertifikate sofort widerrufen, und die Zeit, die normalerweise benötigt wird, bis Ihre Verbundpartner Ihr neues Zertifikat nutzen, wird umgangen. Diese Aktion kann möglicherweise auch zu einem Dienstausfall führen, während die Vertrauensstellungen aktualisiert werden, sodass die neuen Zertifikate verwendet werden. Der Ausfall sollte behoben sein, nachdem alle Verbundpartner über die neuen Zertifikate verfügen.

Hinweis

Es wird dringend empfohlen, ein Hardwaresicherheitsmodul (HSM) zu verwenden, um Zertifikate zu schützen und zu sichern. Weitere Informationen finden Sie in den bewährten Methoden zum Sichern von AD FS im Abschnitt Hardwaresicherheitsmodule.

Ermitteln des Fingerabdrucks eines Tokensignaturzertifikats

Um das alte Tokensignaturzertifikat zu widerrufen, das zurzeit von AD FS verwendet wird, müssen Sie den Fingerabdruck des Tokensignaturzertifikats ermitteln. Gehen Sie folgendermaßen vor:

  1. Stellen Sie eine Verbindung zum Microsoft-Onlinedienst her, indem Sie Connect-MsolService in PowerShell ausführen.

  2. Dokumentieren Sie den Fingerabdruck und das Ablaufdatum des lokalen Tokensignaturzertifikats und des Tokensignaturzertifikats für die Cloud, indem Sie Get-MsolFederationProperty -DomainName <domain> ausführen.

  3. Kopieren Sie den Fingerabdruck. Später entfernen Sie damit die vorhandenen Zertifikate.

Sie können den Fingerabdruck auch mithilfe der AD FS-Verwaltung abrufen. Wechseln Sie zuDienst>Zertifikate, klicken Sie mit der rechten Maustaste auf das Zertifikat, wählen Sie Zertifikat anzeigen und dann Details aus.

Ermitteln, ob AD FS die Zertifikate automatisch erneuert

Standardmäßig ist AD FS so konfiguriert, dass Tokensignatur- und Tokenentschlüsselungszertifikate automatisch generiert werden. Dies geschieht sowohl während der Erstkonfiguration als auch, wenn sich die Zertifikate ihrem Ablaufdatum nähern.

Sie können hierzu den folgenden PowerShell-Befehl ausführen: Get-AdfsProperties | FL AutoCert*, Certificate*

Die AutoCertificateRollover-Eigenschaft beschreibt, ob AD FS so konfiguriert ist, dass die Tokensignatur- und Tokenentschlüsselungszertifikate automatisch erneuert werden. Führen Sie einen der folgenden Schritte aus:

Generieren eines selbstsignierten Zertifikats, wenn AutoCertificateRollover auf „TRUE“ festgelegt ist

In diesem Abschnitt erstellen Sie zwei Tokensignaturzertifikate. Das erste verwendet das Flag -urgent, wodurch das aktuelle primäre Zertifikat sofort ersetzt wird. Das zweite wird für das sekundäre Zertifikat verwendet.

Wichtig

Sie erstellen zwei Zertifikate, weil Microsoft Entra ID Informationen über das vorherige Zertifikat speichert. Durch Erstellen eines zweiten Zertifikats zwingen Sie Microsoft Entra ID, die Informationen über das alte Zertifikat freizugeben und durch Informationen über das zweite zu ersetzen.

Wenn Sie das zweite Zertifikat nicht erstellen und Microsoft Entra ID damit aktualisieren, werden Benutzer möglicherweise mit dem alten Tokensignaturzertifikat authentifiziert.

Führen Sie folgende Schritten durch, um ein neues Tokensignaturzertifikate zu generieren:

  1. Vergewissern Sie sich, dass Sie am primären AD FS-Server angemeldet sind.

  2. Öffnen Sie Windows PowerShell als Administrator.

  3. Stellen Sie sicher, dass AutoCertificateRollover durch die Ausführung in PowerShell auf True festgelegt ist:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Führen Sie Folgendes aus, um ein neues Tokensignaturzertifikat zu generieren:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Überprüfen Sie das Update, indem Sie Folgendes ausführen:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Generieren Sie jetzt das zweite Tokensignaturzertifikat, indem Sie Folgendes ausführen:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. Sie können die Aktualisierung überprüfen, indem Sie erneut den folgenden Befehl ausführen: .

    Get-ADFSCertificate -CertificateType Token-Signing

Manuelles Generieren neuer Zertifikate, wenn AutoCertificateRollover auf „FALSE“ festgelegt ist

Wenn Sie nicht die automatisch generierten, selbstsignierten standardmäßigen Tokensignatur- und Tokenentschlüsselungszertifikate verwenden, müssen Sie diese Zertifikate manuell erneuern und konfigurieren. Dafür müssen Sie zwei neue Tokensignaturzertifikate erstellen und importieren. Anschließend stufen Sie ein Zertifikat zum primären Zertifikat herauf, widerrufen das alte und konfigurieren das zweite Zertifikat als sekundäres.

Zunächst müssen Sie zwei neue Zertifikate von Ihrer Zertifizierungsstelle abrufen und auf jedem Verbundserver in den persönlichen Zertifikatspeicher des lokalen Computers importieren. Entsprechende Anweisungen finden unter Importieren eines Zertifikats.

Wichtig

Sie erstellen zwei Zertifikate, weil Microsoft Entra ID Informationen über das vorherige Zertifikat speichert. Durch Erstellen eines zweiten Zertifikats zwingen Sie Microsoft Entra ID, die Informationen über das alte Zertifikat freizugeben und durch Informationen über das zweite zu ersetzen.

Wenn Sie das zweite Zertifikat nicht erstellen und Microsoft Entra ID damit aktualisieren, werden Benutzer möglicherweise mit dem alten Tokensignaturzertifikat authentifiziert.

Konfigurieren eines neuen Zertifikats als sekundäres

Als Nächstes konfigurieren Sie ein Zertifikat als sekundäres AD FS-Tokensignatur- oder Tokenentschlüsselungszertifikat und stufen es dann zum primären Zertifikat herauf.

  1. Nachdem Sie das Zertifikat importiert haben, öffnen Sie die AD FS-Verwaltungskonsole.

  2. Erweitern Sie Dienst, und wählen Sie Zertifikate aus.

  3. Klicken Sie im Aktionsbereich auf Tokensignaturzertifikat hinzufügen.

  4. Wählen Sie das neue Zertifikat aus der Liste der angezeigten Zertifikate und dann OK aus.

Höherstufen des neuen Zertifikats vom sekundären zum primären Zertifikat

Nachdem Sie nun das neue Zertifikat in AD FS importiert und konfiguriert haben, müssen Sie es als primäres Zertifikat festlegen.

  1. Öffnen Sie die AD FS-Verwaltungskonsole.

  2. Erweitern Sie Dienst, und wählen Sie Zertifikate aus.

  3. Wählen Sie das sekundäre Tokensignaturzertifikat aus.

  4. Wählen Sie im AktionsbereichAls primär festlegen aus. Wählen Sie an der Eingabeaufforderung Ja aus.

  5. Nachdem Sie das neue Zertifikat als primäres Zertifikat heraufgestuft haben, müssen Sie das alte Zertifikat entfernen, da es weiterhin verwendet werden kann. Weitere Informationen finden Sie im Abschnitt Entfernen alter Zertifikate.

So konfigurieren Sie das zweite Zertifikat als sekundäres Zertifikat

Nachdem Sie das erste Zertifikat hinzugefügt, als primär festgelegt und das alte entfernt haben, können Sie nun das zweite Zertifikat importieren. Konfigurieren Sie das Zertifikat als sekundäres AD FS-Tokensignaturzertifikat, indem Sie folgende Schritte ausführen:

  1. Nachdem Sie das Zertifikat importiert haben, öffnen Sie die AD FS-Verwaltungskonsole.

  2. Erweitern Sie Dienst, und wählen Sie Zertifikate aus.

  3. Klicken Sie im Aktionsbereich auf Tokensignaturzertifikat hinzufügen.

  4. Wählen Sie das neue Zertifikat aus der Liste der angezeigten Zertifikate und dann OK aus.

Aktualisieren von Microsoft Entra ID mit dem neuen Tokensignaturzertifikat

  1. Öffnen Sie das Azure AD PowerShell-Modul. Sie können auch Windows PowerShell öffnen und dann den Befehl „Import-Module msonline“ ausführen.

  2. Stellen Sie eine Verbindung mit Microsoft Entra ID her, indem Sie den folgenden Befehl ausführen:

    Connect-MsolService

  3. Geben Sie Ihre Anmeldeinformationen als Hybrididentitätsadministrator ein.

    Hinweis

    Wenn Sie diese Befehle auf einem Computer ausführen, der nicht der primäre Verbundserver ist, müssen Sie zunächst den folgenden Befehl eingeben:

    Set-MsolADFSContext -Computer <servername>

    Ersetzen Sie <Servername> durch den Namen des AD FS-Servers, und geben Sie dann in der Eingabeaufforderung die Administratoranmeldeinformationen für den AD FS-Server ein.

  4. Optional können Sie anhand der aktuellen Zertifikatsinformationen in Microsoft Entra ID überprüfen, ob eine Aktualisierung erforderlich ist. Führen Sie dazu den folgenden Befehl aus: Get-MsolFederationProperty. Geben Sie den Namen der Verbunddomäne ein, wenn Sie dazu aufgefordert werden.

  5. Führen Sie den folgenden Befehl aus, um die Zertifikatinformationen in Microsoft Entra ID zu aktualisieren: Update-MsolFederatedDomain, und geben Sie dann den Domänennamen ein, wenn Sie dazu aufgefordert werden.

    Hinweis

    Wenn Sie beim Ausführen dieses Befehls eine Fehlermeldung erhalten, führen Sie „Update-MsolFederatedDomain -SupportMultipleDomain“ aus, und geben Sie dann in der Eingabeaufforderung den Domänennamen ein.

Ersetzen von SSL-Zertifikaten

Falls Sie Ihr Tokensignaturzertifikat ersetzen müssen, weil es kompromittiert wurde, müssen Sie auch die Secure Sockets Layer (SSL)-Zertifikate für AD FS sowie Ihre Webanwendungsproxyserver (Web Application Proxy, WAP) widerrufen und ersetzen.

Das Sperren der SSL-Zertifikate muss bei der Zertifizierungsstelle erfolgen, von der das Zertifikat ausgestellt wurde. Diese Zertifikate werden oft von Drittanbietern wie GoDaddy ausgestellt. Ein Beispiel finden Sie im Abschnitt zum Widerrufen eines Zertifikats in der GoDaddy-Hilfe zu SSL-Zertifikaten. Weitere Informationen finden Sie im Artikel Funktionsweise der Zertifikatsperrung.

Nachdem das alte SSL-Zertifikat gesperrt und ein neues ausgestellt wurde, können Sie die SSL-Zertifikate ersetzen. Weitere Informationen finden Sie im Artikel zum Ersetzen des SSL-Zertifikats für AD FS.

Entfernen der alten Zertifikate

Nachdem Sie Ihre alten Zertifikate ersetzt haben, müssen Sie das alte Zertifikat entfernen, da es weiterhin verwendet werden kann. Gehen Sie folgendermaßen vor:

  1. Vergewissern Sie sich, dass Sie am primären AD FS-Server angemeldet sind.

  2. Öffnen Sie Windows PowerShell als Administrator.

  3. Führen Sie Folgendes aus, um das alte Tokensignaturzertifikat zu entfernen:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Aktualisieren von Verbundpartnern, die Verbundmetadaten nutzen können

Wenn Sie ein neues Tokensignatur- oder Tokenentschlüsselungszertifikat erneuert und konfiguriert haben, müssen Sie sicherstellen, dass alle Ihre Verbundpartner die neuen übernommen haben. Diese Liste enthält Ressourcenorganisations- oder Kontoorganisationspartner, die in AD FS durch Vertrauensstellungen der vertrauenden Seite und der Anspruchsanbieter vertreten werden.

Aktualisieren von Verbundpartnern, die keine Verbundmetadaten nutzen können

Wenn Ihre Verbundpartner keine Verbundmetadaten nutzen können, müssen Sie ihnen den öffentlichen Schlüssel des neuen Tokensignatur-/Tokenentschlüsselungszertifikats manuell zusenden. Senden Sie den öffentlichen Schlüssel des neuen Zertifikats (CER-Datei oder P7B-Datei, wenn Sie die gesamte Kette einbeziehen möchten) an alle Ressourcenorganisations- oder Kontoorganisationspartner (die in AD FS durch Vertrauensstellungen der vertrauenden Seite und Anspruchsanbieter-Vertrauensstellungen dargestellt werden). Fordern Sie die Partner auf, die Änderungen auf ihrer Seite zu implementieren, damit den neuen Zertifikaten vertraut wird.

Widerrufen von Aktualisierungstoken über PowerShell

Sie möchten jetzt die Aktualisierungstoken für Benutzer widerrufen, die möglicherweise über solche Token verfügen, und sie zwingen, sich erneut anzumelden, um neue Token zu erhalten. Dadurch werden Benutzer von ihren Telefonen, aktuellen Webmail-Sitzungen und anderen Orten abgemeldet, die Token und Aktualisierungstoken verwenden. Weitere Informationen finden Sie unter Revoke-AzureADUserAllRefreshToken. Siehe auch Widerrufen des Benutzerzugriffs in Microsoft Entra ID.

Hinweis

Azure AD- und MSOnline PowerShell-Module sind ab dem 30. März 2024 veraltet. Weitere Informationen finden Sie im Update zur Unterstützungseinstellung. Nach diesem Datum wird die Unterstützung für diese Module auf die Migrationsunterstützung für das Microsoft Graph PowerShell-SDK und Sicherheitskorrekturen beschränkt. Die veralteten Module funktionieren weiterhin bis zum 30. März 2025.

Es wird empfohlen, für die Interaktion mit Microsoft Entra ID (früher Azure AD) zu Microsoft Graph PowerShell zu migrieren. Informationen zu allgemeinen Migrationsfragen finden Sie in den häufig gestellten Fragen zur Migration. Hinweis: Bei der Version 1.0.x von MSOnline können nach dem 30. Juni 2024 Unterbrechungen auftreten.

Nächste Schritte