Rotación de emergencia de los certificados de AD FS

  • Artículo

Si necesita rotar inmediatamente los certificados de Servicios de federación de Active Directory (AD FS), puede seguir los pasos de este artículo.

Importante

La rotación de certificados en el entorno de AD FS revoca los certificados antiguos inmediatamente y el tiempo que normalmente tardan los asociados de federación en consumir el nuevo certificado se omite. La acción también podría provocar una interrupción del servicio mientras las confianzas se actualizan para usar los nuevos certificados. La interrupción debe resolverse después de que todos los asociados de federación tengan los nuevos certificados.

Nota

Recomendamos encarecidamente que use un módulo de seguridad de hardware (HSM) para proteger y asegurar los certificados. Para más información, consulte la sección Módulo de seguridad de hardware en los procedimientos recomendados para proteger AD FS.

Determinación de la huella digital del certificado de firma de tokens

Para revocar el antiguo certificado de firma de tokens que AD FS usa actualmente, debe determinar la huella digital del certificado de firma de tokens. Haga lo siguiente:

  1. Conéctese a Microsoft Online Service ejecutando la operación en Connect-MsolService.

  2. Documente la huella digital y las fechas de expiración de su certificado de firma de tokens tanto local como en la nube ejecutando Get-MsolFederationProperty -DomainName <domain>.

  3. Copie el valor de la huella digital. Lo usará más tarde para eliminar los certificados existentes.

También puede obtener la huella digital mediante la administración de AD FS. Vaya a Servicio>Certificados, haga clic con el botón derecho en el certificado, seleccione Ver certificado y después seleccione Detalles.

Determinación de si AD FS renueva automáticamente los certificados

De manera predeterminada, AD FS está configurado para generar automáticamente los certificados de firma de tokens y de descifrado de tokens. Lo hace tanto durante la configuración inicial como cuando los certificados se acercan a su fecha de caducidad.

Puede ejecutar el siguiente comando de PowerShell: Get-AdfsProperties | FL AutoCert*, Certificate*.

La propiedad AutoCertificateRollover describe si AD FS está configurado para renovar automáticamente los certificados de firma y descifrado de tokens. Realice cualquiera de las siguientes acciones:

Si AutoCertificateRollover está establecido en TRUE, genere un nuevo certificado autofirmado

En esta sección, creará dos certificados de firma de tokens. El primero usará la marca -urgent, que reemplazará inmediatamente al certificado principal actual. El segundo se usará para el certificado secundario.

Importante

Está creando dos certificados porque Microsoft Entra ID conserva la información sobre el certificado anterior. Al crear un segundo certificado, forzará a Microsoft Entra ID a liberar la información sobre el antiguo y sustituirla por la del segundo.

Si no crea el segundo certificado y actualiza Microsoft Entra ID con él, es posible que el antiguo certificado de firma de tokens autentique a los usuarios.

Para generar los nuevos certificados de firma de tokens, haga lo siguiente:

  1. Compruebe que la sesión en el servidor de AD FS principal está iniciada.

  2. Abra Windows PowerShell como administrador.

  3. Asegúrese de que AutoCertificateRollover se haya definido como True ejecutando la operación en PowerShell:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Para generar un nuevo certificado de firma de tokens, ejecute:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Para comprobar la actualización, ejecute:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Ahora genere el segundo certificado de firma de tokens ejecutando:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. Puede verificar la actualización mediante la ejecución de nuevo del comando siguiente: .

    Get-ADFSCertificate -CertificateType Token-Signing

Si AutoCertificateRollover está establecido en FALSE, genere nuevos certificados manualmente.

Si no usa los certificados de firma y descifrado de tokens autofirmados y generados automáticamente, debe renovar y configurar estos certificados manualmente. Esto implica crear dos nuevos certificados de firma de tokens e importarlos. A continuación, se promueve uno a principal, se revoca el certificado antiguo y se configura el segundo certificado como secundario.

En primer lugar, debe obtener dos nuevos certificados de la entidad de certificación e importarlos en el almacén de certificados personales del equipo local en cada servidor de la federación. Para obtener instrucciones, consulte Importación de un certificado.

Importante

Está creando dos certificados porque Microsoft Entra ID conserva la información sobre el certificado anterior. Al crear un segundo certificado, forzará a Microsoft Entra ID a liberar la información sobre el antiguo y sustituirla por la del segundo.

Si no crea el segundo certificado y actualiza Microsoft Entra ID con él, es posible que el antiguo certificado de firma de tokens autentique a los usuarios.

Configuración de un nuevo certificado como certificado secundario

A continuación, configure un certificado como certificado secundario de firma o descifrado de tokens de AD FS y después promuévalo al principal.

  1. Después de importar el certificado, abra la consola de Administración de AD FS.

  2. Expanda Servicio y seleccione Certificados.

  3. En el panel Acciones, seleccione Añadir certificado de firma de tokens.

  4. Seleccione el nuevo certificado de la lista de certificados que aparecen y seleccione después Aceptar.

Promover el nuevo certificado de secundario a principal

Ahora que ha importado el nuevo certificado y lo ha configurado en AD FS, debe establecerlo como certificado principal.

  1. Abra la consola Administración de AD FS.

  2. Expanda Servicio y seleccione Certificados.

  3. Seleccione el certificado secundario de firma de los tokens.

  4. En el panel Acciones, seleccione Establecer como principal. En la solicitud, seleccione .

  5. Una vez que ha promocionado el nuevo certificado como certificado principal, debe quitar el certificado antiguo porque todavía se puede usar. Para más información, consulte la sección Quitar los certificados antiguos.

Para configurar el segundo certificado como certificado secundario

Ahora que ha añadido el primer certificado, lo ha hecho principal y ha eliminado el antiguo, puede importar el segundo certificado. Configure el certificado como certificado de firma de tokens de AD FS secundario haciendo lo siguiente:

  1. Después de importar el certificado, abra la consola de Administración de AD FS.

  2. Expanda Servicio y seleccione Certificados.

  3. En el panel Acciones, seleccione Añadir certificado de firma de tokens.

  4. Seleccione el nuevo certificado de la lista de certificados que aparecen y seleccione después Aceptar.

Actualización de Microsoft Entra ID con el nuevo certificado de firma de tokens

  1. Abra el módulo de Azure AD PowerShell. También puede abrir Windows PowerShell y ejecutar el comando Import-Module msonline.

  2. Conéctese a Microsoft Entra ID mediante la ejecución del siguiente comando:

    Connect-MsolService

  3. Escriba sus credenciales de administrador de identidad híbrida.

    Nota

    Si ejecuta estos comandos en un equipo que no es el servidor de federación principal, ejecute primero el comando siguiente:

    Set-MsolADFSContext -Computer <servername>

    Reemplace <servername> por el nombre del servidor AD FS y después, en la solicitud, escriba las credenciales de administrador del servidor AD FS.

  4. Opcionalmente, verifique si es necesaria una actualización comprobando la información actual del certificado en Microsoft Entra ID. Para ello, ejecute el siguiente comando: Get-MsolFederationProperty. Escriba el nombre del dominio federado cuando se le pida.

  5. Para actualizar la información del certificado en Microsoft Entra ID, ejecute el comando Update-MsolFederatedDomain y, a continuación, escriba el nombre de dominio cuando se le solicite.

    Nota:

    Si recibe un error al ejecutar este comando, ejecute Update-MsolFederatedDomain -SupportMultipleDomain y, en la solicitud, escriba el nombre del dominio.

Reemplazo de certificados SSL

Si necesita reemplazar su certificado de firma de los tokens debido a un compromiso, también deberá revocar y reemplazar los certificados SSL ( Capa de sockets seguros) para AD FS y sus servidores proxy de aplicaciones web (WAP).

La revocación de los certificados SSL debe realizarse en la entidad de certificación (CA) que emitió el certificado. Estos certificados suelen emitirlos proveedores de terceros como GoDaddy. Para obtener un ejemplo, consulte Revocación de un certificado | Certificados SSL - GoDaddy Help US. Para más información, consulte Funcionamiento de la revocación de certificados.

Una vez que se ha revocado el certificado SSL anterior y se ha emitido uno nuevo, puede reemplazar los certificados SSL. Para más información, consulte Reemplazar el certificado SSL para AD FS.

Retirada de los certificados antiguos

Una vez que haya reemplazado los certificados antiguos, debe quitarlos porque todavía se pueden usar. Para ello:

  1. Compruebe que la sesión en el servidor de AD FS principal está iniciada.

  2. Abra Windows PowerShell como administrador.

  3. Para eliminar el antiguo certificado de firma de tokens, ejecute:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Actualización de los asociados de la federación que pueden usar metadatos de la federación

Si ha renovado y configurado un nuevo certificado de firma o descifrado de tokens, debe asegurarse de que todos los asociados de la federación han seleccionado los nuevos certificados. Esta lista incluye partners de organizaciones de recursos u organizaciones de cuentas que están representados en AD FS mediante confianzas de partes fiables y confianzas de proveedores de notificaciones.

Actualización de los partners de la federación que no pueden consumir metadatos de la federación

Si los asociados de la federación no pueden usar los metadatos de la federación, debe enviarles manualmente la clave pública del nuevo certificado de firma o descifrado de tokens. Envíe la nueva clave pública de certificado (archivo. cer o .p7b si desea incluir toda la cadena) a todos los asociados de la organización de recursos o la organización de cuentas (representados en AD FS por las confianzas de un usuario de confianza y las confianzas de un proveedor de notificaciones). Haga que los asociados implementen los cambios en su lado para confiar en los nuevos certificados.

Revocación de tokens de actualización a través de PowerShell

Ahora quiere revocar los tokens de actualización para los usuarios que puedan tenerlos y obligarles a volver a iniciar sesión y obtener nuevos tokens. Esto cierra la sesión de los usuarios de sus teléfonos, las sesiones actuales de correo web y otros lugares que están usando tokens y tokens de actualización. Para más información, consulte Revoke-AzureADUserAllRefreshToken. Consulte también Revocar el acceso de usuario en Microsoft Entra ID.

Nota:

Los módulos de PowerShell de Azure AD y MSOnline están en desuso a partir del 30 de marzo de 2024. Para obtener más información, lea la actualización de desuso. Desde esta fecha, el soporte de estos módulos se limita a la asistencia de migración al SDK de PowerShell de Microsoft Graph y a las correcciones de seguridad. Los módulos en desuso seguirán funcionando hasta el 30 de marzo de 2025.

Se recomienda migrar a PowerShell de Microsoft Graph para interactuar con Microsoft Entra ID (anteriormente Azure AD). Para preguntas comunes sobre la migración, consulte las Preguntas más frecuentes sobre migración. Nota: Las versiones 1.0.x de MSOnline podrían experimentar interrupciones después del 30 de junio de 2024.

Pasos siguientes