Bagikan melalui

Memperbarui sertifikat federasi untuk Microsoft 365 dan ID Microsoft Entra

Ikhtisar

Untuk federasi yang berhasil antara ID Microsoft Entra dan Layanan Federasi Direktori Aktif (AD FS), sertifikat yang digunakan oleh Layanan Federasi Direktori Aktif untuk menandatangani token keamanan ke ID Microsoft Entra harus cocok dengan apa yang dikonfigurasi di ID Microsoft Entra. Ketidakcocokan dapat menyebabkan kepercayaan yang rusak. Microsoft Entra ID memastikan bahwa informasi ini tetap sinkron saat Anda menyebarkan Layanan Federasi Direktori Aktif dan Proksi Aplikasi Web (untuk akses ekstranet).

Nota

Artikel ini menyediakan informasi tentang mengelola sertifikat federasi Anda. Untuk informasi tentang rotasi darurat, lihat Rotasi Darurat Sertifikat AD FS

Artikel ini memberi Anda informasi tambahan untuk mengelola sertifikat penandatanganan token Anda dan membuatnya tetap sinkron dengan ID Microsoft Entra, dalam kasus berikut:

  • Anda tidak menyebarkan Proksi Aplikasi Web, dan oleh karena itu metadata federasi tidak tersedia di ekstranet.
  • Anda tidak menggunakan konfigurasi default Ad FS untuk sertifikat penandatanganan token.
  • Anda menggunakan IdP pihak ketiga.

Penting

Microsoft sangat merekomendasikan penggunaan Modul Keamanan Perangkat Keras (HSM) untuk melindungi dan mengamankan sertifikat. Untuk informasi selengkapnya, lihat modul keamanan perangkat keras di bawah praktik terbaik untuk mengamankan AD FS.

Konfigurasi default Ad FS untuk sertifikat penandatanganan token

Sertifikat penandatanganan token dan dekripsi token biasanya merupakan sertifikat yang ditandatangani sendiri, dan baik selama satu tahun. Secara bawaan, Layanan Federasi Direktori Aktif menyertakan proses perpanjangan otomatis yang disebut AutoCertificateRollover. Jika Anda menggunakan AD FS 2.0 atau yang lebih baru, Microsoft 365 dan Microsoft Entra ID secara otomatis memperbarui sertifikat Anda sebelum kedaluwarsa.

Pemberitahuan perpanjangan dari pusat admin Microsoft 365 atau email

Nota

Jika Anda menerima email yang meminta Anda memperbarui sertifikat untuk Office, lihat Mengelola perubahan pada sertifikat penandatanganan token untuk memeriksa apakah Anda perlu mengambil tindakan apa pun. Microsoft mengetahui kemungkinan masalah yang dapat menyebabkan pemberitahuan untuk perpanjangan sertifikat dikirim, bahkan ketika tidak ada tindakan yang diperlukan.

MICROSOFT Entra ID mencoba memantau metadata federasi, dan memperbarui sertifikat penandatanganan token seperti yang ditunjukkan oleh metadata ini. Tiga puluh lima (35) hari sebelum kedaluwarsa sertifikat penandatanganan token, MICROSOFT Entra ID memeriksa apakah sertifikat baru tersedia dengan melakukan polling metadata federasi.

  • Jika berhasil melakukan polling metadata federasi dan mengambil sertifikat baru, tidak akan ada pemberitahuan email yang dikirimkan kepada pengguna.
  • Jika tidak dapat mengambil sertifikat penandatanganan token baru, baik karena metadata federasi tidak dapat dijangkau atau pergantian sertifikat otomatis tidak diaktifkan, ID Microsoft Entra mengirimkan email.

Penting

Jika Anda menggunakan AD FS, verifikasi pembaruan berikut pada server Anda untuk memastikan kelangsungan bisnis, sehingga kegagalan autentikasi untuk masalah yang sudah dikenal tidak terjadi. Ini mengurangi masalah yang diketahui pada server proksi AD FS untuk perpanjangan ini dan periode perpanjangan di masa mendatang.

Server 2012 R2 - Pembaruan Windows Server Mei 2014

Server 2008 R2 dan 2012 - Autentikasi melalui proksi gagal di Windows Server 2012 atau Windows 2008 R2 SP1

Periksa apakah sertifikat perlu diperbarui

Langkah 1: Periksa status AutoCertificateRollover

Di server AD FS Anda, buka PowerShell. Periksa apakah nilai AutoCertificateRollover diatur ke True.

Get-Adfsproperties

AutoCertificateRollover

Nota

Jika Anda menggunakan Active Directory Federation Services 2.0, terlebih dahulu jalankan Add-Pssnapin Microsoft.Adfs.Powershell.

Langkah 2: Pastikan bahwa AD FS dan Microsoft Entra ID telah sinkron

Di server AD FS Anda, buka prompt PowerShell, dan sambungkan ke Microsoft Entra ID.

Nota

Microsoft Entra adalah bagian dari Microsoft Entra PowerShell. Anda dapat mengunduh modul Microsoft Entra PowerShell langsung dari Galeri PowerShell.

Install-Module -Name Microsoft.Entra

Sambungkan ke ID Microsoft Entra.

Connect-Entra -Scopes 'Domain.Read.All'

Periksa sertifikat yang telah dikonfigurasi pada properti kepercayaan AD FS dan Microsoft Entra ID untuk domain yang ditentukan.

Get-EntraFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Jika sidik jari di kedua output cocok, sertifikat Anda sudah sinkron dengan Microsoft Entra ID.

Langkah 3: Periksa apakah sertifikat Anda akan kedaluwarsa

Dalam output Get-EntraFederationProperty atau Get-AdfsCertificate, periksa tanggal di bagian "Not After." Jika tanggal tersebut kurang dari 35 hari dari waktu saat ini, Anda harus mengambil tindakan.

PerpanjanganSertifikatOtomatis Sertifikat sinkron dengan ID Microsoft Entra Metadata federasi dapat diakses secara publik Validitas Perbuatan
Ya Ya Ya - Tidak ada tindakan yang diperlukan. Lihat Memperpanjang sertifikat penandatanganan token secara otomatis.
Ya Tidak - Kurang dari 15 hari Segera perbarui. Lihat Memperpanjang sertifikat penandatanganan token secara manual.
Tidak - - Kurang dari 35 hari Segera perbarui. Lihat Memperpanjang sertifikat penandatanganan token secara manual.

[-] Tidak penting

Memperpanjang sertifikat penandatanganan token secara otomatis (disarankan)

Anda tidak perlu melakukan langkah manual jika kedua hal berikut ini benar:

  • Anda telah menyebarkan Proksi Aplikasi Web, yang memungkinkan akses ke metadata federasi dari ekstranet.
  • Anda menggunakan konfigurasi default Active Directory Federation Services (AutoCertificateRollover diaktifkan).

Periksa hal berikut untuk mengonfirmasi bahwa sertifikat dapat diperbarui secara otomatis.

1. Properti AD FS AutoCertificateRollover harus disetel ke True. Ini menunjukkan bahwa Layanan Federasi Direktori Aktif secara otomatis menghasilkan sertifikat penandatanganan token dan dekripsi token baru, sebelum sertifikat lama kedaluwarsa.

2. Metadata federasi Active Directory Federation Services (AD FS) dapat diakses secara publik. Periksa apakah metadata federasi Anda dapat diakses secara publik dengan menavigasi ke URL berikut dari komputer di internet publik (di luar jaringan perusahaan):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

di mana (your_FS_name) diganti dengan nama host layanan federasi yang digunakan organisasi Anda, seperti fs.contoso.com. Jika Anda berhasil memverifikasi kedua pengaturan ini, Anda tidak perlu melakukan hal lain.

Contoh: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Memperpanjang sertifikat penandatanganan token secara manual

Anda dapat memilih untuk memperbarui sertifikat penandatanganan token secara manual. Misalnya, skenario berikut mungkin berfungsi lebih baik untuk perpanjangan manual:

  • Sertifikat penandatanganan token bukan sertifikat yang ditandatangani sendiri. Alasan paling umum untuk ini adalah organisasi Anda mengelola sertifikat AD FS yang terdaftar dari otoritas sertifikat organisasi.
  • Keamanan jaringan tidak mengizinkan metadata federasi tersedia untuk umum.
  • Anda memigrasikan domain federasi dari layanan federasi yang ada ke layanan federasi baru.

Penting

Jika Anda memigrasikan domain federasi yang ada ke layanan federasi baru, disarankan untuk mengikuti rotasi darurat sertifikat Ad FS

Dalam skenario ini, setiap kali memperbarui sertifikat penandatanganan token, Anda juga harus memperbarui domain Microsoft 365 dengan menggunakan perintah PowerShell, Update-MgDomainFederationConfiguration.

Langkah 1: Pastikan AD FS memiliki sertifikat penandatanganan token baru

konfigurasi non-default

Jika Anda menggunakan konfigurasi AD FS non-default (di mana AutoCertificateRollover diatur ke False), Anda mungkin menggunakan sertifikat kustom (bukan yang ditandatangani sendiri). Untuk informasi selengkapnya tentang cara memperbarui sertifikat penandatanganan token AD FS, lihat Persyaratan Sertifikat untuk server federasi.

metadata Federasi tidak tersedia untuk umum

Di lain pihak, jika AutoCertificateRollover diatur ke True, tetapi metadata federasi Anda tidak dapat diakses secara publik, pertama-tama pastikan bahwa sertifikat penandatanganan token baru dihasilkan oleh AD FS. Konfirmasikan bahwa Anda memiliki sertifikat penandatanganan token baru dengan mengambil langkah-langkah berikut:

  1. Pastikan Anda masuk ke server AD FS utama.

  2. Periksa sertifikat penandatanganan saat ini di Layanan Federasi Direktori Aktif dengan membuka jendela perintah PowerShell, dan jalankan perintah berikut:

    Get-ADFSCertificate -CertificateType Token-Signing

    Nota

    Jika Anda menggunakan AD FS 2.0 (Layanan Federasi Direktori Aktif), Anda harus menjalankan Add-Pssnapin Microsoft.Adfs.Powershell terlebih dahulu.

  3. Lihat output perintah pada setiap sertifikat yang terdaftar. Jika AD FS telah menghasilkan sertifikat baru, Anda harus melihat dua sertifikat dalam output: satu di mana nilai IsPrimary adalah True dan tanggal NotAfter dalam waktu kurang dari 5 hari, dan satu di mana IsPrimary adalah False dan NotAfter sekitar satu tahun di masa mendatang.

  4. Jika Anda hanya melihat satu sertifikat, dan tanggal NotAfter dalam waktu kurang dari 5 hari, Anda perlu membuat sertifikat baru.

  5. Untuk menghasilkan sertifikat baru, jalankan perintah berikut pada prompt perintah PowerShell: Update-ADFSCertificate -CertificateType Token-Signing.

  6. Verifikasi pembaruan dengan menjalankan perintah berikut lagi: Get-ADFSCertificate -CertificateType Token-Signing

Dua sertifikat harus dicantumkan sekarang, salah satunya memiliki tanggal NotAfter sekitar satu tahun di masa mendatang, dan untuk itu nilai IsPrimary adalah False.

Langkah 2: Perbarui sertifikat penandatanganan token baru untuk kepercayaan Microsoft 365

Perbarui Microsoft 365 dengan sertifikat penandatanganan token baru yang akan digunakan untuk kepercayaan, sebagai berikut.

  1. Buka Azure PowerShell.
  2. Jalankan Connect-Entra -Scopes 'Domain.Read.All'. Cmdlet ini menghubungkan Anda ke layanan awan. Membuat konteks yang menghubungkan Anda ke layanan awan diperlukan sebelum menjalankan cmdlet tambahan apa pun yang diinstal oleh alat.
  3. Jalankan Update-MgDomainFederationConfiguration -DomainId <domain> -InternalDomainFederationId <AD FS primary server>. Cmdlet ini memperbarui pengaturan dari AD FS ke dalam layanan cloud, dan mengonfigurasi hubungan kepercayaan antara keduanya.

Nota

Jika Anda perlu mendukung beberapa domain tingkat atas, seperti contoso.com dan fabrikam.com, Anda harus menggunakan SupportMultipleDomain switch dengan cmdlet apa pun. Untuk informasi selengkapnya, lihat Dukungan untuk Beberapa Domain Tingkat Atas.

Jika penyewa Anda terfederasi dengan lebih dari satu domain, Update-MgDomainFederationConfiguration perlu dijalankan untuk semua domain yang tercantum dalam output dari Get-EntraDomain | Select-Object -Property AuthenticationType:Federated. Ini memastikan bahwa semua domain federasi diperbarui ke sertifikat Token-Signing. Anda dapat mencapainya dengan menjalankan: Get-EntraDomain | Select-Object -Property AuthenticationType:Federated | % { Update-MgDomainFederationConfiguration -DomainName $_.Name -SupportMultipleDomain }

Perbaiki kepercayaan MICROSOFT Entra ID dengan menggunakan Microsoft Entra Connect

Jika Anda mengonfigurasi farm AD FS dan kepercayaan ID Microsoft Entra dengan menggunakan Microsoft Entra Connect, Anda dapat menggunakan Microsoft Entra Connect untuk mendeteksi apakah Anda perlu mengambil tindakan terhadap sertifikat penandatanganan token Anda. Jika Anda perlu memperbarui sertifikat, Anda dapat menggunakan Microsoft Entra Connect untuk melakukannya.

Untuk informasi selengkapnya, lihat Memperbaiki kepercayaan.

Langkah-langkah pembaruan sertifikat Ad FS dan Microsoft Entra

Sertifikat penandatanganan token adalah sertifikat X509 standar yang digunakan untuk menandatangani secara aman semua token yang diterbitkan oleh server federasi. Sertifikat dekripsi token adalah sertifikat X509 standar yang digunakan untuk mendekripsi token masuk apa pun.

Secara default, Layanan Federasi Direktori Aktif dikonfigurasi untuk menghasilkan sertifikat penandatanganan token dan dekripsi token secara otomatis, baik pada waktu konfigurasi awal maupun ketika sertifikat mendekati tanggal kedaluwarsanya.

MICROSOFT Entra ID mencoba mengambil sertifikat baru dari metadata layanan federasi Anda 35 hari sebelum kedaluwarsa sertifikat saat ini. Jika sertifikat baru tidak tersedia pada saat itu, ID Microsoft Entra terus memantau metadata pada interval harian reguler. Segera setelah sertifikat baru tersedia dalam metadata, pengaturan federasi untuk domain diperbarui dengan informasi sertifikat baru. Anda dapat menggunakan Get-MgDomainFederationConfiguration untuk memverifikasi apakah Anda melihat sertifikat baru di NextSigningCertificate / SigningCertificate.

Untuk informasi selengkapnya tentang Sertifikat Penandatanganan Token di Layanan Federasi Direktori Aktif, lihat Mendapatkan dan Mengonfigurasi Sertifikat Penandatanganan Token dan Dekripsi Token untuk Layanan Federasi Direktori Aktif