Megosztás a következőn keresztül:

Az AD FS-tanúsítványok vészforgatása

  • Cikk

Ha azonnal el kell forgatnia a Active Directory összevonási szolgáltatások (AD FS) (AD FS) tanúsítványokat, kövesse a cikkben leírt lépéseket.

Fontos

Az AD FS-környezetben a tanúsítványok elforgatása azonnal visszavonja a régi tanúsítványokat, és az összevonási partnerek számára általában az új tanúsítvány felhasználásához szükséges idő kerülendő. A művelet szolgáltatáskimaradást is eredményezhet, mivel a megbízhatósági adatok frissülnek az új tanúsítványok használatához. A leállást akkor kell feloldani, ha az összes összevonási partner rendelkezik az új tanúsítványokkal.

Feljegyzés

Javasoljuk, hogy a tanúsítványok védelméhez és védelméhez használjon hardveres biztonsági modult (HSM). További információt az AD FS biztonságossá tételével kapcsolatos ajánlott eljárások hardveres biztonsági moduljának szakaszában talál.

A token-aláíró tanúsítvány ujjlenyomatának meghatározása

Az AD FS által jelenleg használt régi jogkivonat-aláíró tanúsítvány visszavonásához meg kell határoznia a jogkivonat-aláíró tanúsítvány ujjlenyomatát. Végezze el az alábbi műveleteket:

  1. Csatlakozás a Microsoft Online Service-be a PowerShellben Connect-MsolServicevaló futtatással.

  2. A helyszíni és a felhőbeli tokenaláíró tanúsítvány ujjlenyomatának és lejárati dátumainak dokumentálása a futtatáskor Get-MsolFederationProperty -DomainName <domain>.

  3. Másolja le az ujjlenyomatot. Ezt később fogja használni a meglévő tanúsítványok eltávolításához.

Az ujjlenyomatot az AD FS Management használatával is lekérheti. Válassza a Szolgáltatástanúsítványok> lehetőséget, kattintson a jobb gombbal a tanúsítványra, válassza a Tanúsítvány megtekintése lehetőséget, majd válassza a Részletek lehetőséget.

Annak meghatározása, hogy az AD FS automatikusan megújítja-e a tanúsítványokat

Alapértelmezés szerint az AD FS úgy van konfigurálva, hogy automatikusan hozzon létre jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat. Ez mind a kezdeti konfiguráció, mind pedig a tanúsítványok lejárati dátumának közeledtével történik.

A következő PowerShell-parancsot futtathatja: Get-AdfsProperties | FL AutoCert*, Certificate*.

A AutoCertificateRollover tulajdonság azt írja le, hogy az AD FS konfigurálva van-e a jogkivonat-aláírás és a jogkivonatok automatikus visszafejtésére. A következő lehetőségek közül választhat:

Ha az AutoCertificateRollover értéke IGAZ, hozzon létre egy új önaláírt tanúsítványt

Ebben a szakaszban két jogkivonat-aláíró tanúsítványt hoz létre. Az első a jelölőt -urgent használja, amely azonnal lecseréli az aktuális elsődleges tanúsítványt. A második a másodlagos tanúsítványhoz használatos.

Fontos

Azért hoz létre két tanúsítványt, mert a Microsoft Entra-azonosító az előző tanúsítványra vonatkozó információkat tartalmazza. A második létrehozásával arra kényszeríti a Microsoft Entra-azonosítót, hogy adja ki a régi tanúsítványsal kapcsolatos információkat, és cserélje le a másodikra vonatkozó információkra.

Ha nem hozza létre a második tanúsítványt, és azzal frissíti a Microsoft Entra-azonosítót, lehetséges, hogy a régi jogkivonat-aláíró tanúsítvány hitelesíti a felhasználókat.

Az új jogkivonat-aláíró tanúsítványok létrehozásához tegye a következőket:

  1. Győződjön meg arról, hogy be van jelentkezve az elsődleges AD FS-kiszolgálóra.

  2. Nyissa meg a Windows PowerShellt rendszergazdaként.

  3. A PowerShellben való futtatással győződjön meg arról, hogy AutoCertificateRolloverTrue a beállítás be van állítva:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Új jogkivonat-aláíró tanúsítvány létrehozásához futtassa a következőt:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Ellenőrizze a frissítést a következő futtatásával:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Most hozza létre a második jogkivonat-aláíró tanúsítványt a következő futtatásával:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. A frissítést a következő parancs ismételt futtatásával ellenőrizheti:

    Get-ADFSCertificate -CertificateType Token-Signing

Ha az AutoCertificateRollover értéke FAL Standard kiadás, hozzon létre manuálisan új tanúsítványokat

Ha nem az automatikusan létrehozott, önaláírt jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat használja, manuálisan kell megújítania és konfigurálnia ezeket a tanúsítványokat. Ehhez létre kell hoznia két új jogkivonat-aláíró tanúsítványt, és importálnia kell őket. Ezután előléptet egyet az elsődlegesre, visszavonja a régi tanúsítványt, és másodlagos tanúsítványként konfigurálja a második tanúsítványt.

Először két új tanúsítványt kell beszereznie a hitelesítésszolgáltatótól, és importálnia kell őket a helyi gép személyes tanúsítványtárolójába minden egyes összevonási kiszolgálón. Útmutatásért lásd : Tanúsítvány importálása.

Fontos

Azért hoz létre két tanúsítványt, mert a Microsoft Entra-azonosító az előző tanúsítványra vonatkozó információkat tartalmazza. A második létrehozásával arra kényszeríti a Microsoft Entra-azonosítót, hogy adja ki a régi tanúsítványsal kapcsolatos információkat, és cserélje le a másodikra vonatkozó információkra.

Ha nem hozza létre a második tanúsítványt, és azzal frissíti a Microsoft Entra-azonosítót, lehetséges, hogy a régi jogkivonat-aláíró tanúsítvány hitelesíti a felhasználókat.

Új tanúsítvány konfigurálása másodlagos tanúsítványként

Ezután konfiguráljon egy tanúsítványt másodlagos AD FS-jogkivonat-aláíró vagy visszafejtési tanúsítványként, majd előléptesse azt az elsődlegesen.

  1. A tanúsítvány importálása után nyissa meg az AD FS Management konzolt.

  2. Bontsa ki a szolgáltatást, majd válassza a Tanúsítványok lehetőséget.

  3. A Műveletek panelen válassza a Jogkivonat-aláíró tanúsítvány hozzáadása lehetőséget.

  4. Válassza ki az új tanúsítványt a megjelenített tanúsítványok listájából, majd kattintson az OK gombra.

Az új tanúsítvány előléptetése másodlagosról elsődlegesre

Most, hogy importálta az új tanúsítványt, és konfigurálta az AD FS-ben, elsődleges tanúsítványként kell beállítania.

  1. Nyissa meg az AD FS Felügyeleti konzolt.

  2. Bontsa ki a szolgáltatást, majd válassza a Tanúsítványok lehetőséget.

  3. Válassza ki a másodlagos jogkivonat-aláíró tanúsítványt.

  4. A Műveletek panelen válassza a Beállítás elsődlegesként lehetőséget. A parancssorban válassza az Igen lehetőséget.

  5. Miután előléptette az új tanúsítványt elsődleges tanúsítványként, el kell távolítania a régi tanúsítványt, mert továbbra is használható. További információ: A régi tanúsítványok eltávolítása szakasz.

A második tanúsítvány konfigurálása másodlagos tanúsítványként

Most, hogy hozzáadta az első tanúsítványt, elsődlegessé tette, és eltávolította a régit, importálhatja a második tanúsítványt. Konfigurálja a tanúsítványt másodlagos AD FS-jogkivonat-aláíró tanúsítványként az alábbiak végrehajtásával:

  1. A tanúsítvány importálása után nyissa meg az AD FS Management konzolt.

  2. Bontsa ki a szolgáltatást, majd válassza a Tanúsítványok lehetőséget.

  3. A Műveletek panelen válassza a Jogkivonat-aláíró tanúsítvány hozzáadása lehetőséget.

  4. Válassza ki az új tanúsítványt a megjelenített tanúsítványok listájából, majd kattintson az OK gombra.

A Microsoft Entra ID frissítése az új jogkivonat-aláíró tanúsítvánnyal

  1. Nyissa meg az Azure AD PowerShell-modult. Másik lehetőségként nyissa meg a Windows PowerShellt, majd futtassa a Import-Module msonline parancsot.

  2. Csatlakozás a Microsoft Entra ID-be az alábbi parancs futtatásával:

    Connect-MsolService

  3. Adja meg a hibrid identitás Rendszergazda istrator hitelesítő adatait.

    Feljegyzés

    Ha olyan számítógépen futtatja ezeket a parancsokat, amely nem az elsődleges összevonási kiszolgáló, először adja meg a következő parancsot:

    Set-MsolADFSContext -Computer <servername>

    Cserélje le <a kiszolgálónevet> az AD FS-kiszolgáló nevére, majd a parancssorban adja meg az AD FS-kiszolgáló rendszergazdai hitelesítő adatait.

  4. Ha szükséges, ellenőrizze, hogy szükség van-e frissítésre a Microsoft Entra ID aktuális tanúsítványadatainak ellenőrzésével. Ehhez futtassa a következő parancsot: Get-MsolFederationProperty. Amikor a rendszer kéri, adja meg az összevont tartomány nevét.

  5. A tanúsítványadatok Microsoft Entra-azonosítóban való frissítéséhez futtassa a következő parancsot: Update-MsolFederatedDomain majd amikor a rendszer kéri, adja meg a tartománynevet.

    Feljegyzés

    Ha a parancs futtatásakor hibaüzenetet kap, futtassa Update-MsolFederatedDomain -SupportMultipleDomain , majd a parancssorban adja meg a tartománynevet.

SSL-tanúsítványok cseréje

Ha biztonsági rés miatt le kell cserélnie a jogkivonat-aláíró tanúsítványt, akkor az AD FS és a webes alkalmazásproxy (WAP) kiszolgálók ssl-tanúsítványait is vissza kell vonnia és lecserélnie.

Az SSL-tanúsítványok visszavonását a tanúsítványt kiállító hitelesítésszolgáltatónál (CA) kell elvégezni. Ezeket a tanúsítványokat gyakran külső szolgáltatók, például a GoDaddy bocsátják ki. Példa: Tanúsítvány visszavonása | SSL-tanúsítványok – A GoDaddy súgója. További információ: A tanúsítvány visszavonásának működése.

A régi SSL-tanúsítvány visszavonása és egy új tanúsítvány kiadása után lecserélheti az SSL-tanúsítványokat. További információ: Az AD FS SSL-tanúsítványának cseréje.

A régi tanúsítványok eltávolítása

Miután lecserélte a régi tanúsítványokat, el kell távolítania a régi tanúsítványt, mert továbbra is használható. Ehhez tegye a következőket:

  1. Győződjön meg arról, hogy be van jelentkezve az elsődleges AD FS-kiszolgálóra.

  2. Nyissa meg a Windows PowerShellt rendszergazdaként.

  3. A régi jogkivonat-aláíró tanúsítvány eltávolításához futtassa a következőt:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Összevonási metaadatokat használó összevonási partnerek frissítése

Ha megújított és konfigurált egy új jogkivonat-aláírási vagy jogkivonat-visszafejtési tanúsítványt, győződjön meg arról, hogy az összes összevonási partner felvette az új tanúsítványokat. Ez a lista olyan erőforrás-szervezési vagy fiókszervezési partnereket tartalmaz, amelyek az AD FS-ben a függő entitások megbízhatósági és jogcímszolgáltatói megbízhatóságai alapján jelennek meg.

Összevonási metaadatokat nem használó összevonási partnerek frissítése

Ha az összevonási partnerek nem tudják felhasználni az összevonási metaadatokat, manuálisan kell elküldeniük az új jogkivonat-aláíró/jogkivonat-visszafejtési tanúsítvány nyilvános kulcsát. Küldje el az új nyilvános tanúsítványkulcsot (.cer fájlt vagy .p7b fájlt, ha a teljes láncot is bele szeretné foglalni) az erőforrás-szervezet vagy a fiókszervezet összes partnerének (amelyet az AD FS-ben a függő entitások megbízhatósági és jogcímszolgáltatói megbízhatóságai képviselnek). A partnerek hajtsanak végre módosításokat a saját oldalukon, hogy megbízzanak az új tanúsítványokban.

A frissítési jogkivonatok visszavonása a PowerShell-lel

Most meg szeretné vonni a frissítési jogkivonatokat azoknak a felhasználóknak, akik esetleg rendelkeznek velük, és kényszerítik őket, hogy jelentkezzenek be újra, és szerezze be az új jogkivonatokat. Ez kijelentkezteti a felhasználókat a telefonjukról, az aktuális webposta-munkamenetekből és más olyan helyekről, amelyek jogkivonatokat használnak és jogkivonatokat frissítenek. További információ: Revoke-AzureADUserAllRefreshToken. Lásd még: Felhasználói hozzáférés visszavonása a Microsoft Entra-azonosítóban.

Feljegyzés

Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.

Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.

Következő lépések