Partager via


Rotation d’urgence des certificats AD FS

Si vous devez faire pivoter immédiatement les certificats services de fédération Active Directory (AD FS), vous pouvez suivre les étapes de cet article.

Important

La rotation des certificats dans l’environnement AD FS révoque immédiatement les anciens certificats, et le temps habituellement nécessaire à vos partenaires de fédération pour utiliser votre nouveau certificat est ignoré. L’action peut également entraîner une interruption de service car les fiducies sont mises à jour pour utiliser les nouveaux certificats. Cette interruption de service devrait être résolue une fois que tous les partenaires de fédération auront les nouveaux certificats.

Notes

Nous vous recommandons vivement d’utiliser un module de sécurité matériel (HSM) pour protéger et sécuriser les certificats. Pour plus d’informations, consultez le Module de sécurité matériel dans les meilleures pratiques pour la sécurisation des AD FS.

Déterminer l’empreinte de votre certificat de signature de jetons

Pour révoquer l’ancien certificat de signature de jetons qu’AD FS utilise actuellement, vous devez déterminer l’empreinte du certificat de signature de jetons. Effectuez les actions suivantes :

  1. Connectez-vous au service en ligne Microsoft en exécutant Connect-MsolService dans PowerShell.

  2. Documentez l'empreinte et les dates d'expiration de votre certificat de signature de jetons Cloud et local en exécutant Get-MsolFederationProperty -DomainName <domain>.

  3. Copiez l’empreinte. Vous l’utiliserez plus tard pour supprimer les certificats existants.

Vous pouvez également obtenir l’empreinte numérique à l’aide de la gestion AD FS. Accédez à Certificats> de service, cliquez avec le bouton droit sur le certificat, sélectionnez Afficher le certificat, puis sélectionnez Détails.

Déterminer si AD FS renouvelle automatiquement les certificats

Par défaut, AD FS est configuré pour générer automatiquement des certificats de signature de jeton et de déchiffrement de jeton. Il le fait à la fois pendant la configuration initiale et lorsque les certificats approchent de leur date d’expiration.

Vous pouvez exécuter la commande PowerShell suivante : Get-AdfsProperties | FL AutoCert*, Certificate*.

La propriété AutoCertificateRollover indique si AD FS est configuré pour renouveler automatiquement les certificats de signature de jetons et de déchiffrement de jeton. Effectuez l'une des opérations suivantes :

Si AutoCertificateRollover a pour valeur TRUE, un nouveau certificat auto-signé est généré

Dans cette section, vous créez deux certificats de signature de jetons. Le premier utilise l’indicateur -urgent, qui remplace immédiatement le certificat principal actuel. Le second est utilisé pour le certificat secondaire.

Important

Vous créez deux certificats, car Microsoft Entra ID conserve les informations relatives au certificat précédent. En créant un deuxième certificat, vous forcez Microsoft Entra ID à publier des informations concernant l’ancien certificat et à les remplacer par des informations sur le deuxième certificat.

Si vous ne créez pas le deuxième certificat et ne mettez pas Microsoft Entra ID à jour avec, il est possible que l’ancien certificat de signature de jetons authentifie les utilisateurs.

Pour générer les nouveaux certificats de signature de jetons, procédez comme suit :

  1. Vérifiez que vous êtes connecté au serveur AD FS principal.

  2. Ouvrez Windows PowerShell en tant qu’administrateur.

  3. Assurez-vous que AutoCertificateRollover est définie sur True en exécutant dans PowerShell :

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Pour générer un nouveau certificat de signature de jetons, exécutez  :

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Vérifiez la mise à jour en exécutant :

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Générez maintenant le deuxième certificat de signature de jetons en exécutant :

    Update-ADFSCertificate -CertificateType Token-Signing

  7. Vous pouvez vérifier la mise à jour en réexécutant la commande suivante :

    Get-ADFSCertificate -CertificateType Token-Signing

Si AutoCertificateRollover est défini sur FALSE, de nouveaux certificats sont générés manuellement

Si vous n’utilisez pas les certificats de signature de jetons et de déchiffrement de jetons auto-signés générés automatiquement par défaut, vous devez renouveler et configurer ces certificats manuellement. Pour ce faire, il faut créer deux nouveaux certificats de signature de jetons et les importer. Ensuite, vous en promouvez un en tant que certificat principal, vous révoquez l’ancien certificat et vous configurez le deuxième certificat comme certificat secondaire.

Tout d’abord, vous devez obtenir deux nouveaux certificats auprès de votre autorité de certification et les importer dans le magasin de certificats personnels de l’ordinateur local sur chaque serveur de fédération. Pour obtenir des instructions, consultez Importer un certificat.

Important

Vous créez deux certificats, car Microsoft Entra ID conserve les informations relatives au certificat précédent. En créant un deuxième certificat, vous forcez Microsoft Entra ID à publier des informations concernant l’ancien certificat et à les remplacer par des informations sur le deuxième certificat.

Si vous ne créez pas le deuxième certificat et ne mettez pas Microsoft Entra ID à jour avec, il est possible que l’ancien certificat de signature de jetons authentifie les utilisateurs.

Configurez un nouveau certificat en tant que certificat secondaire

Ensuite, configurez un certificat comme certificat de signature ou de déchiffrement de jetons secondaire AD FS, puis promouvez-le en tant que certificat principal.

  1. Une fois que vous avez importé le certificat, ouvrez la console de gestion AD FS .

  2. Développez Service, puis sélectionnez Certificats.

  3. Dans le volet Actions, cliquez sur Ajouter un certificat de signature de jetons.

  4. Sélectionnez le nouveau certificat dans la liste de certificats affichés, puis sélectionnez OK.

Promouvoir le nouveau certificat secondaire en certificat principal

Maintenant que vous avez importé le nouveau certificat et que vous l’avez configuré dans AD FS, vous devez le définir en tant que certificat principal.

  1. Ouvrez la console de gestion AD FS.

  2. Développez Service, puis sélectionnez Certificats.

  3. Sélectionnez le certificat de signature de jetons secondaire.

  4. Dans le volet Actions, sélectionnez Définir comme principal. À l’invite, sélectionnez Oui.

  5. Après avoir promu le nouveau certificat en tant que certificat principal, vous devez supprimer l’ancien certificat, car il peut toujours être utilisé. Pour plus d’informations, consultez la section Supprimer vos anciens certificats .

Pour configurer le deuxième certificat en tant que certificat secondaire

Maintenant que vous avez ajouté le premier certificat, que vous l’avez passé en tant que certificat principal et que vous avez supprimé l’ancien, vous pouvez importer le deuxième certificat. Vous devez ensuite configurer le certificat comme le certificat de signature de jetons secondaire AD FS en procédant comme suit :

  1. Une fois que vous avez importé le certificat, ouvrez la console de gestion AD FS .

  2. Développez Service, puis sélectionnez Certificats.

  3. Dans le volet Actions, cliquez sur Ajouter un certificat de signature de jetons.

  4. Sélectionnez le nouveau certificat dans la liste de certificats affichés, puis sélectionnez OK.

Mettre à jour Microsoft Entra ID avec le nouveau certificat de signature de jetons

  1. Ouvrir le module Azure AD PowerShell. Vous pouvez également ouvrir Windows PowerShell, puis exécuter la commande Import-Module msonline.

  2. Connectez-vous à Microsoft Entra ID en exécutant la commande suivante :

    Connect-MsolService

  3. Entrez vos informations d’identification d’administrateur d’identité hybride.

    Notes

    Si vous exécutez ces commandes sur un ordinateur qui n'est pas le serveur de fédération principal, entrez d'abord la commande suivante :

    Set-MsolADFSContext -Computer <servername>

    Remplacez <servername> par le nom du serveur AD FS, puis, à l’invite, entrez les informations d’identification de l’administrateur pour le serveur AD FS.

  4. Vous pouvez également vérifier si une mise à jour est requise en vérifiant les informations de certificat en cours dans Microsoft Entra ID. Pour ce faire, exécutez la commande suivante : Get-MsolFederationProperty. Entrez le nom du domaine fédéré lorsque vous y êtes invité.

  5. Pour mettre à jour les informations de certificat dans Microsoft Entra ID, exécutez la commande suivante : Update-MsolFederatedDomain, puis entrez le nom de domaine lorsque vous y êtes invité.

    Remarque

    Si vous recevez une erreur lorsque vous exécutez cette commande, exécutez Update-MsolFederatedDomain -SupportMultipleDomain , puis, à l’invite, entrez le nom de domaine.

Remplacer des certificats SSL

Si vous devez remplacer votre certificat de signature de jetons en raison d’une compromission, vous devez également révoquer et remplacer les certificats Secure Sockets Layer (SSL) pour AD FS et vos serveurs Web Application Proxy (WAP).

La révocation de vos certificats SSL doit être effectuée au niveau de l’autorité de certification qui a émis le certificat. Ces certificats sont souvent émis par des fournisseurs tiers, tels que GoDaddy. Pour obtenir un exemple, consultez Révoquer un certificat | Certificats SSL - GoDaddy Help US. Pour plus d’informations, consultez Fonctionnement de la révocation de certificats.

Après la révocation de l’ancien certificat SSL et l’émission d'un nouveau certificat, vous pouvez remplacer les certificats SSL. Pour plus d’informations, consultez Remplacer le certificat SSL pour AD FS.

Supprimer vos anciens certificats

Après avoir remplacé vos anciens certificats, vous devez supprimer l’ancien certificat, car il peut toujours être utilisé. Pour cela, procédez de la façon suivante :

  1. Vérifiez que vous êtes connecté au serveur AD FS principal.

  2. Ouvrez Windows PowerShell en tant qu’administrateur.

  3. Pour supprimer l’ancien certificat de signature de jetons, exécuter :

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Mettre à jour les partenaires de fédération qui peuvent consommer les métadonnées de fédération

Si vous avez renouvelé et configuré un nouveau certificat de signature de jeton ou de déchiffrement de jeton, vous devez vous assurer que tous vos partenaires de fédération ont récupéré les nouveaux certificats. Cette liste inclut les partenaires d’organisation de ressources ou d’organisation de compte qui sont représentés dans AD FS par des approbations de partie de confiance et des approbations de fournisseurs de revendications.

Mettre à jour les partenaires de fédération qui ne peuvent pas consommer les métadonnées de fédération

Si vos partenaires de fédération ne peuvent pas consommer vos métadonnées de fédération, vous devez leur envoyer manuellement la clé publique de votre nouveau certificat de signature de jetons/déchiffrement de jetons. Envoyez votre nouvelle clé publique de certificat (fichier .cer ou .p7b si vous souhaitez inclure la chaîne entière) à l’ensemble de vos partenaires d’organisation de ressources ou d’organisation de compte (représentés dans votre AD FS par des approbations de partie de confiance et des approbations de fournisseur de revendications). Demandez aux partenaires d’implémenter les modifications de leur côté pour approuver les nouveaux certificats.

Révoquer les jetons d’actualisation via PowerShell

À présent, vous voulez révoquer les jetons d’actualisation pour les utilisateurs qui pourraient les avoir et les forcer à se reconnecter et à obtenir de nouveaux jetons. Cela déconnecte les utilisateurs de leur téléphone, des sessions de messagerie web en cours, ainsi que d’autres éléments qui utilisent des jetons et des jetons d’actualisation. Pour plus d’informations, consultez Revoke-AzureADUserAllRefreshToken. Consultez également Révoquer l’accès utilisateur dans Microsoft Entra ID.

Remarque

Les modules Azure AD et MSOnline PowerShell sont dépréciés depuis le 30 mars 2024. Pour en savoir plus, lisez les informations de dépréciation. Passé cette date, la prise en charge de ces modules est limitée à une assistance de migration vers le SDK et les correctifs de sécurité Microsoft Graph PowerShell. Les modules déconseillés continueront de fonctionner jusqu’au 30 mars 2025.

Nous vous recommandons de migrer vers Microsoft Graph PowerShell pour interagir avec Microsoft Entra ID (anciennement Azure AD). Pour explorer les questions courantes sur la migration, reportez-vous au FAQ sur la migration. Remarque : Les versions 1.0.x de MSOnline peuvent connaître une interruption après le 30 juin 2024.

Étapes suivantes