Obtención y configuración de certificados TS y TD para AD FS
En este artículo se describen las tareas y los procedimientos que garantizan que los certificados de firma y descifrado de tokens de AD FS están actualizados.
Los certificados de firma de tokens son certificados X509 estándar usados para firmar de forma segura todos los tokens que emite el servidor de federación. Los certificados de descifrado de tokens son certificados X509 estándar usados para descifrar los tokens entrantes. También se publican en metadatos de federación.
Para obtener más información, consulte los Requisitos de certificado.
Determinación de si AD FS renueva automáticamente los certificados
De manera predeterminada, AD FS está configurado para generar automáticamente los certificados de firma de tokens y de descifrado de tokens. La generación tiene lugar tanto durante la configuración inicial como cuando los certificados se acercan a su fecha de caducidad.
Puede ejecutar el siguiente comando de Windows PowerShell: Get-AdfsProperties.
La propiedad AutoCertificateRollover describe si AD FS está configurado para renovar automáticamente los certificados de firma y descifrado de tokens.
Si AutoCertificateRollover se establece en True, los certificados de AD FS se renuevan y configuran automáticamente en AD FS. Una vez configurado el nuevo certificado, debe asegurarse de que cada asociado de federación se actualice con este nuevo certificado para evitar una interrupción. El asociado de federación se representa en la granja de AD FS mediante relaciones de confianza para usuario autenticado o relaciones de confianza para proveedor de notificaciones.
Si AD FS no está configurado para renovar automáticamente la firma y el descifrado de tokens (por ejemplo, si AutoCertificateRollover está establecido en False), AD FS no generará ni usará certificados de firma o descifrado de tokens nuevos de forma automática. Tendrá que realizar estas tareas manualmente.
Si AD FS está configurado para renovar automáticamente los certificados de firma y descifrado de tokens (AutoCertificateRollover está establecido en True), puede determinar cuándo se renuevan:
CertificateGenerationThreshold describe cuántos días antes de la fecha Not After del certificado se generará uno nuevo.
CertificatePromotionThreshold determina cuántos días después de que se genera el nuevo certificado se promociona para que sea el certificado principal. AD FS usa CertificatePromotionThreshold para firmar tokens que emite y descifrar tokens procedentes de proveedores de identidades.
Determinación de la fecha de expiración de los certificados actuales
Puede usar el procedimiento siguiente para identificar los certificados de firma y descifrado de token y para determinar cuándo expiran los certificados actuales.
Puede ejecutar el comando de Windows PowerShell siguiente: Get-AdfsCertificate –CertificateType token-signing (o Get-AdfsCertificate –CertificateType token-decrypting). También puede examinar los certificados actuales en MMC: Servicio->Certificados.
AD FS usa el certificado para el que el valor IsPrimary se establece en True.
La fecha que se muestra para Not After es la fecha en la que se debe configurar un certificado de firma o descifrado de token nuevo.
Para garantizar la continuidad del servicio, todos los asociados de la federación deben consumir los nuevos certificados de firma y descifrado de tokens antes de esta expiración. El asociado de federación se representa en la granja de AD FS mediante relaciones de confianza para usuario autenticado o relaciones de confianza para proveedor de notificaciones. Debe planear este proceso con al menos 60 días de antelación.
Generación manual de un nuevo certificado autofirmado antes de que finalice el período de gracia
Puede generar un certificado autofirmado nuevo de forma manual antes del final del período de gracia mediante los pasos siguientes:
- Compruebe que ha iniciado sesión en el servidor de AD FS principal.
- Abra Windows PowerShell y ejecute el siguiente comando:
Add-PSSnapin "microsoft.adfs.powershell". - Puede comprobar los certificados de firma actuales en AD FS. Para ello, ejecute el siguiente comando:
Get-ADFSCertificate –CertificateType token-signing. Preste atención a la salida del comando para ver las fechas Not After de los certificados que aparezcan. - Para generar un certificado nuevo, ejecute el comando siguiente para renovar y actualizar los certificados en el servidor de AD FS:
Update-ADFSCertificate –CertificateType token-signing. - Vuelva a ejecutar el comando siguiente para comprobar la actualización:
Get-ADFSCertificate –CertificateType token-signing. - Ahora se deben enumerar dos certificados. Uno debe tener una fecha Not After de aproximadamente un año en el futuro. El otro debe tener el valor IsPrimary establecido en False.
Importante
Para evitar una interrupción del servicio, actualice la información del certificado en Microsoft Entra ID con un certificado de firma de tokens válido.
Si no usa certificados autofirmados
Si no usa los certificados predeterminados de firma y descifrado de tokens autofirmados y generados automáticamente, debe renovar y configurar estos certificados manualmente.
En primer lugar, debe obtener un certificado nuevo de la entidad de certificación e importarlo en el almacén de certificados personales del equipo local en cada servidor de la federación. Para obtener instrucciones, consulte Importación de un certificado.
Después, debe configurarlo como certificado de firma o descifrado de tokens de AD FS secundario. Puede configurarlo como un certificado secundario para permitir a los asociados de la federación tiempo suficiente para consumir este certificado nuevo antes de promoverlo a certificado principal.
Configuración de un nuevo certificado como certificado secundario
- Abra PowerShell y ejecute
Set-ADFSProperties -AutoCertificateRollover $false. - Una vez que hayas importado el certificado. Abra la consola Administración de AD FS.
- Expande Servicios y selecciona Certificados.
- En el panel Acciones, seleccione Agregar certificado de firma de tokens.
- Seleccione el nuevo certificado de la lista de certificados que aparecen y seleccione después Aceptar.
- Abra PowerShell y ejecute
Set-ADFSProperties -AutoCertificateRollover $true.
Advertencia
Asegúrese de que el certificado nuevo tenga una clave privada asociada y de que a la cuenta del servicio de AD FS se le haya otorgado los permisos de Lectura para la clave privada. Compruebe esto con cada servidor de federación. Para ello, en el complemento Certificados, haz clic con el botón secundario en el nuevo certificado, elija Todas las tareas y luego seleccione Administrar claves privadas.
Los asociados de federación consumen los nuevos certificados mediante la extracción de los metadatos de federación o la recepción de la clave pública de su nuevo certificado. Una vez que haya permitido tiempo suficiente para que los asociados de la federación consuman el certificado nuevo, debe promover el certificado secundario a certificado principal.
Promover el nuevo certificado de secundario a principal
Abra la consola Administración de AD FS.
Expande Servicios y selecciona Certificados.
Seleccione el certificado secundario de firma de los tokens.
En el panel Acciones, seleccione Establecer como principal. Seleccione Sí en el mensaje de confirmación.
Actualización de asociados de federación
Debe actualizar los asociados de federación de forma diferente, en función de si pueden consumir metadatos de la federación.
Asociados que pueden consumir metadatos de la federación
Cuando renueve y configure un nuevo certificado de firma o descifrado de tokens, debe asegurarse de que todos los asociados de la federación han seleccionado los nuevos certificados. Los asociados de la federación son asociados de organización de recursos o de organización de cuentas que están representados en AD FS mediante relaciones de confianza para usuario autenticado y relaciones de confianza para proveedor de notificaciones.
Asociados que no pueden consumir metadatos de la federación
Si los asociados de la federación no pueden consumir los metadatos de la federación, debe enviarles manualmente la clave pública del nuevo certificado de firma o descifrado de tokens. Envíe la nueva clave pública de certificado (archivo. cer o. p7b si desea incluir toda la cadena) a todos los asociados de la organización de recursos o de la organización de cuentas. La asociados de organización de recursos o de organización de cuentas están representados en AD FS mediante relaciones de confianza para usuario autenticado y relaciones de confianza para proveedor de notificaciones. Los asociados deben implementen los cambios en su lado para confiar en los nuevos certificados.
Promoción a principal si AutoCertificateRollover es False
Si AutoCertificateRollover está establecido en False, AD FS no genera ni usa nuevos certificados de firma o descifrado de tokens de forma automática. Tendrá que realizar estas tareas manualmente. Después de dejar transcurrir un período suficiente para que todos los asociados consuman el nuevo certificado secundario, promueva este certificado secundario a principal. En el complemento MMC, seleccione el certificado de firma de tokens secundario y, en el panel Acciones, seleccione Establecer como principal.
Actualizar el nombre de Microsoft Entra ID
AD FS proporciona acceso de inicio de sesión único a los servicios en la nube de Microsoft, como Office 365, mediante la autenticación de usuarios con sus credenciales de AD DS existentes. Para más información, consulte Renovación de certificados de federación para Office 365 y Microsoft Entra ID.