Az AD FS-tanúsítványok vészforgatása
Ha azonnal el kell forgatnia a Active Directory összevonási szolgáltatások (AD FS) (AD FS) tanúsítványokat, kövesse a cikkben leírt lépéseket.
Fontos
Az AD FS-környezetben a tanúsítványok elforgatása azonnal visszavonja a régi tanúsítványokat, és az összevonási partnerek számára általában az új tanúsítvány felhasználásához szükséges idő kerülendő. A művelet szolgáltatáskimaradást is eredményezhet, mivel a megbízhatósági adatok frissülnek az új tanúsítványok használatához. A leállást akkor kell feloldani, ha az összes összevonási partner rendelkezik az új tanúsítványokkal.
Feljegyzés
Javasoljuk, hogy a tanúsítványok védelméhez és védelméhez használjon hardveres biztonsági modult (HSM). További információt az AD FS biztonságossá tételével kapcsolatos ajánlott eljárások hardveres biztonsági moduljának szakaszában talál.
A token-aláíró tanúsítvány ujjlenyomatának meghatározása
Az AD FS által jelenleg használt régi jogkivonat-aláíró tanúsítvány visszavonásához meg kell határoznia a jogkivonat-aláíró tanúsítvány ujjlenyomatát. Végezze el az alábbi műveleteket:
Csatlakozás a Microsoft Online Service-be a PowerShellben
Connect-MsolService
való futtatással.A helyszíni és a felhőbeli tokenaláíró tanúsítvány ujjlenyomatának és lejárati dátumainak dokumentálása a futtatáskor
Get-MsolFederationProperty -DomainName <domain>
.Másolja le az ujjlenyomatot. Ezt később fogja használni a meglévő tanúsítványok eltávolításához.
Az ujjlenyomatot az AD FS Management használatával is lekérheti. Válassza a Szolgáltatástanúsítványok> lehetőséget, kattintson a jobb gombbal a tanúsítványra, válassza a Tanúsítvány megtekintése lehetőséget, majd válassza a Részletek lehetőséget.
Annak meghatározása, hogy az AD FS automatikusan megújítja-e a tanúsítványokat
Alapértelmezés szerint az AD FS úgy van konfigurálva, hogy automatikusan hozzon létre jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat. Ez mind a kezdeti konfiguráció, mind pedig a tanúsítványok lejárati dátumának közeledtével történik.
A következő PowerShell-parancsot futtathatja: Get-AdfsProperties | FL AutoCert*, Certificate*
.
A AutoCertificateRollover
tulajdonság azt írja le, hogy az AD FS konfigurálva van-e a jogkivonat-aláírás és a jogkivonatok automatikus visszafejtésére. A következő lehetőségek közül választhat:
- Ha
AutoCertificateRollover
be van állítvaTRUE
, hozzon létre egy új önaláírt tanúsítványt. - Ha
AutoCertificateRollover
be van állítvaFALSE
, hozzon létre manuálisan új tanúsítványokat.
Ha az AutoCertificateRollover értéke IGAZ, hozzon létre egy új önaláírt tanúsítványt
Ebben a szakaszban két jogkivonat-aláíró tanúsítványt hoz létre. Az első a jelölőt -urgent
használja, amely azonnal lecseréli az aktuális elsődleges tanúsítványt. A második a másodlagos tanúsítványhoz használatos.
Fontos
Azért hoz létre két tanúsítványt, mert a Microsoft Entra-azonosító az előző tanúsítványra vonatkozó információkat tartalmazza. A második létrehozásával arra kényszeríti a Microsoft Entra-azonosítót, hogy adja ki a régi tanúsítványsal kapcsolatos információkat, és cserélje le a másodikra vonatkozó információkra.
Ha nem hozza létre a második tanúsítványt, és azzal frissíti a Microsoft Entra-azonosítót, lehetséges, hogy a régi jogkivonat-aláíró tanúsítvány hitelesíti a felhasználókat.
Az új jogkivonat-aláíró tanúsítványok létrehozásához tegye a következőket:
Győződjön meg arról, hogy be van jelentkezve az elsődleges AD FS-kiszolgálóra.
Nyissa meg a Windows PowerShellt rendszergazdaként.
A PowerShellben való futtatással győződjön meg arról, hogy
AutoCertificateRollover
True
a beállítás be van állítva:Get-AdfsProperties | FL AutoCert*, Certificate*
Új jogkivonat-aláíró tanúsítvány létrehozásához futtassa a következőt:
Update-ADFSCertificate -CertificateType Token-Signing -Urgent
Ellenőrizze a frissítést a következő futtatásával:
Get-ADFSCertificate -CertificateType Token-Signing
Most hozza létre a második jogkivonat-aláíró tanúsítványt a következő futtatásával:
Update-ADFSCertificate -CertificateType Token-Signing
A frissítést a következő parancs ismételt futtatásával ellenőrizheti:
Get-ADFSCertificate -CertificateType Token-Signing
Ha az AutoCertificateRollover értéke FAL Standard kiadás, hozzon létre manuálisan új tanúsítványokat
Ha nem az automatikusan létrehozott, önaláírt jogkivonat-aláírási és jogkivonat-visszafejtési tanúsítványokat használja, manuálisan kell megújítania és konfigurálnia ezeket a tanúsítványokat. Ehhez létre kell hoznia két új jogkivonat-aláíró tanúsítványt, és importálnia kell őket. Ezután előléptet egyet az elsődlegesre, visszavonja a régi tanúsítványt, és másodlagos tanúsítványként konfigurálja a második tanúsítványt.
Először két új tanúsítványt kell beszereznie a hitelesítésszolgáltatótól, és importálnia kell őket a helyi gép személyes tanúsítványtárolójába minden egyes összevonási kiszolgálón. Útmutatásért lásd : Tanúsítvány importálása.
Fontos
Azért hoz létre két tanúsítványt, mert a Microsoft Entra-azonosító az előző tanúsítványra vonatkozó információkat tartalmazza. A második létrehozásával arra kényszeríti a Microsoft Entra-azonosítót, hogy adja ki a régi tanúsítványsal kapcsolatos információkat, és cserélje le a másodikra vonatkozó információkra.
Ha nem hozza létre a második tanúsítványt, és azzal frissíti a Microsoft Entra-azonosítót, lehetséges, hogy a régi jogkivonat-aláíró tanúsítvány hitelesíti a felhasználókat.
Új tanúsítvány konfigurálása másodlagos tanúsítványként
Ezután konfiguráljon egy tanúsítványt másodlagos AD FS-jogkivonat-aláíró vagy visszafejtési tanúsítványként, majd előléptesse azt az elsődlegesen.
A tanúsítvány importálása után nyissa meg az AD FS Management konzolt.
Bontsa ki a szolgáltatást, majd válassza a Tanúsítványok lehetőséget.
A Műveletek panelen válassza a Jogkivonat-aláíró tanúsítvány hozzáadása lehetőséget.
Válassza ki az új tanúsítványt a megjelenített tanúsítványok listájából, majd kattintson az OK gombra.
Az új tanúsítvány előléptetése másodlagosról elsődlegesre
Most, hogy importálta az új tanúsítványt, és konfigurálta az AD FS-ben, elsődleges tanúsítványként kell beállítania.
Nyissa meg az AD FS Felügyeleti konzolt.
Bontsa ki a szolgáltatást, majd válassza a Tanúsítványok lehetőséget.
Válassza ki a másodlagos jogkivonat-aláíró tanúsítványt.
A Műveletek panelen válassza a Beállítás elsődlegesként lehetőséget. A parancssorban válassza az Igen lehetőséget.
Miután előléptette az új tanúsítványt elsődleges tanúsítványként, el kell távolítania a régi tanúsítványt, mert továbbra is használható. További információ: A régi tanúsítványok eltávolítása szakasz.
A második tanúsítvány konfigurálása másodlagos tanúsítványként
Most, hogy hozzáadta az első tanúsítványt, elsődlegessé tette, és eltávolította a régit, importálhatja a második tanúsítványt. Konfigurálja a tanúsítványt másodlagos AD FS-jogkivonat-aláíró tanúsítványként az alábbiak végrehajtásával:
A tanúsítvány importálása után nyissa meg az AD FS Management konzolt.
Bontsa ki a szolgáltatást, majd válassza a Tanúsítványok lehetőséget.
A Műveletek panelen válassza a Jogkivonat-aláíró tanúsítvány hozzáadása lehetőséget.
Válassza ki az új tanúsítványt a megjelenített tanúsítványok listájából, majd kattintson az OK gombra.
A Microsoft Entra ID frissítése az új jogkivonat-aláíró tanúsítvánnyal
Nyissa meg az Azure AD PowerShell-modult. Másik lehetőségként nyissa meg a Windows PowerShellt, majd futtassa a
Import-Module msonline
parancsot.Csatlakozás a Microsoft Entra ID-be az alábbi parancs futtatásával:
Connect-MsolService
Adja meg a hibrid identitás Rendszergazda istrator hitelesítő adatait.
Feljegyzés
Ha olyan számítógépen futtatja ezeket a parancsokat, amely nem az elsődleges összevonási kiszolgáló, először adja meg a következő parancsot:
Set-MsolADFSContext -Computer <servername>
Cserélje le <a kiszolgálónevet> az AD FS-kiszolgáló nevére, majd a parancssorban adja meg az AD FS-kiszolgáló rendszergazdai hitelesítő adatait.
Ha szükséges, ellenőrizze, hogy szükség van-e frissítésre a Microsoft Entra ID aktuális tanúsítványadatainak ellenőrzésével. Ehhez futtassa a következő parancsot:
Get-MsolFederationProperty
. Amikor a rendszer kéri, adja meg az összevont tartomány nevét.A tanúsítványadatok Microsoft Entra-azonosítóban való frissítéséhez futtassa a következő parancsot:
Update-MsolFederatedDomain
majd amikor a rendszer kéri, adja meg a tartománynevet.Feljegyzés
Ha a parancs futtatásakor hibaüzenetet kap, futtassa
Update-MsolFederatedDomain -SupportMultipleDomain
, majd a parancssorban adja meg a tartománynevet.
SSL-tanúsítványok cseréje
Ha biztonsági rés miatt le kell cserélnie a jogkivonat-aláíró tanúsítványt, akkor az AD FS és a webes alkalmazásproxy (WAP) kiszolgálók ssl-tanúsítványait is vissza kell vonnia és lecserélnie.
Az SSL-tanúsítványok visszavonását a tanúsítványt kiállító hitelesítésszolgáltatónál (CA) kell elvégezni. Ezeket a tanúsítványokat gyakran külső szolgáltatók, például a GoDaddy bocsátják ki. Példa: Tanúsítvány visszavonása | SSL-tanúsítványok – A GoDaddy súgója. További információ: A tanúsítvány visszavonásának működése.
A régi SSL-tanúsítvány visszavonása és egy új tanúsítvány kiadása után lecserélheti az SSL-tanúsítványokat. További információ: Az AD FS SSL-tanúsítványának cseréje.
A régi tanúsítványok eltávolítása
Miután lecserélte a régi tanúsítványokat, el kell távolítania a régi tanúsítványt, mert továbbra is használható. Ehhez tegye a következőket:
Győződjön meg arról, hogy be van jelentkezve az elsődleges AD FS-kiszolgálóra.
Nyissa meg a Windows PowerShellt rendszergazdaként.
A régi jogkivonat-aláíró tanúsítvány eltávolításához futtassa a következőt:
Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>
Összevonási metaadatokat használó összevonási partnerek frissítése
Ha megújított és konfigurált egy új jogkivonat-aláírási vagy jogkivonat-visszafejtési tanúsítványt, győződjön meg arról, hogy az összes összevonási partner felvette az új tanúsítványokat. Ez a lista olyan erőforrás-szervezési vagy fiókszervezési partnereket tartalmaz, amelyek az AD FS-ben a függő entitások megbízhatósági és jogcímszolgáltatói megbízhatóságai alapján jelennek meg.
Összevonási metaadatokat nem használó összevonási partnerek frissítése
Ha az összevonási partnerek nem tudják felhasználni az összevonási metaadatokat, manuálisan kell elküldeniük az új jogkivonat-aláíró/jogkivonat-visszafejtési tanúsítvány nyilvános kulcsát. Küldje el az új nyilvános tanúsítványkulcsot (.cer fájlt vagy .p7b fájlt, ha a teljes láncot is bele szeretné foglalni) az erőforrás-szervezet vagy a fiókszervezet összes partnerének (amelyet az AD FS-ben a függő entitások megbízhatósági és jogcímszolgáltatói megbízhatóságai képviselnek). A partnerek hajtsanak végre módosításokat a saját oldalukon, hogy megbízzanak az új tanúsítványokban.
A frissítési jogkivonatok visszavonása a PowerShell-lel
Most meg szeretné vonni a frissítési jogkivonatokat azoknak a felhasználóknak, akik esetleg rendelkeznek velük, és kényszerítik őket, hogy jelentkezzenek be újra, és szerezze be az új jogkivonatokat. Ez kijelentkezteti a felhasználókat a telefonjukról, az aktuális webposta-munkamenetekből és más olyan helyekről, amelyek jogkivonatokat használnak és jogkivonatokat frissítenek. További információ: Revoke-AzureADUserAllRefreshToken. Lásd még: Felhasználói hozzáférés visszavonása a Microsoft Entra-azonosítóban.
Feljegyzés
Az Azure AD- és MSOnline PowerShell-modulok 2024. március 30-ától elavultak. További információkért olvassa el az elavulás frissítését. Ezen dátum után ezeknek a moduloknak a támogatása a Microsoft Graph PowerShell SDK-ra való migrálásra és a biztonsági javításokra korlátozódik. Az elavult modulok 2025. március 30-ától működnek tovább.
Javasoljuk, hogy migráljon a Microsoft Graph PowerShellbe a Microsoft Entra ID (korábbi nevén Azure AD) használatához. Gyakori migrálási kérdésekért tekintse meg a migrálással kapcsolatos gyakori kérdéseket. Megjegyzés: Az MSOnline 1.0.x verziói 2024. június 30. után fennakadást tapasztalhatnak.