次の方法で共有

Active Directory フェデレーション サービス (AD FS) ファームの TLS/SSL 証明書の更新

概要

この記事では、Microsoft Entra Connect を使用して Active Directory フェデレーション サービス (AD FS) ファームの TLS/SSL 証明書を更新する方法について説明します。 選択されたユーザー サインイン方法が AD FS でない場合でも、Microsoft Entra Connect ツールを使用して AD FS ファームの TLS/SSL 証明書を簡単に更新できます。

3 つのシンプルな手順で、すべてのフェデレーション サーバーと Web アプリケーション プロキシ (WAP) サーバーにわたって、AD FS ファームの TLS/SSL 証明書の更新操作全体を実行できます。

3 つの手順

AD FS によって使われる証明書の詳細については、「AD FS で使用される証明書とは」をご覧ください。

[前提条件]

  • AD FS ファーム: AD FS ファームのベースとなる Windows Server のバージョンが 2012 R2 以降であることを確認します。
  • Microsoft Entra Connect: Microsoft Entra Connect のバージョンが 1.1.553.0 以降であることを確認します。 AD FS SSL 証明書の更新タスクを使用します。

TLS タスクの更新

手順 1: AD FS ファームの情報を提供する

Microsoft Entra Connect は、次の方法で AD FS ファームに関する情報を自動的に取得しようとします。

  1. AD FS (Windows Server 2016 以降) でファームの情報を照会します。
  2. Microsoft Entra Connect にローカルに保存されている、以前の実行時の情報を参照します。

表示されるサーバーの一覧にサーバーを追加したり、一覧からサーバーを削除したりすることで一覧を変更して、AD FS ファームの現在の構成を反映できます。 サーバーの情報を提供するとすぐに、接続ステータスと現在の TLS/SSL 証明書の状態が表示されます。

AD FS サーバーの情報

AD FS ファームの一部ではなくなったサーバーが一覧に含まれる場合は、[削除] をクリックして、AD FS ファームのサーバーの一覧からそのサーバーを削除します。

一覧でのオフライン サーバー

Microsoft Entra Connect での AD FS ファームのサーバー一覧からのサーバーの削除は、ローカルな操作です。つまり、Microsoft Entra Connect がローカルに保持している AD FS ファームの情報が更新されます。 この変更を反映するために AD FS の構成が変更されることはありません。

手順 2: 新しい TLS/SSL 証明書を提供する

AD FS ファームのサーバーに関する情報の確認が済むと、新しい TLS/SSL 証明書が要求されます。 パスワードで保護された PFX 証明書を指定して、インストールを続けます。

TLS/SSL 証明書

証明書を指定すると、一連の前提条件が確認されます。 証明書を確認し、証明書が AD FS ファーム用として正しいことを確認します。

  • 証明書のサブジェクト名/代替サブジェクト名がフェデレーション サービス名と同じであるか、またはワイルドカード証明書であること。
  • 証明書の有効期間が 30 日より長いこと。
  • 証明書の信頼チェーンが有効であること。
  • 証明書がパスワードで保護されていること。

手順 3: 更新するサーバーを選ぶ

次の手順では、TLS/SSL 証明書を更新する必要があるサーバーを選びます。 オフラインになっているサーバーを更新対象に選ぶことはできません。

更新するサーバーを選ぶ

構成が完了すると、更新の状態を示すメッセージが表示され、AD FS サインインを確認するためのオプションが提供されます。

構成の完了

よく寄せられる質問

  • 新しい AD FS TLS/SSL 証明書のサブジェクト名はどのようなものにする必要がありますか。

    Microsoft Entra Connect は、証明書のサブジェクト名/代替サブジェクト名にフェデレーション サービスの名前が含まれるかどうかを確認します。 たとえば、フェデレーション サービス名が fs.contoso.com である場合、サブジェクト名/代替サブジェクト名も fs.contoso.com である必要があります。 ワイルドカード証明書も受け付けられます。

  • WAP サーバー ページで資格情報を再度要求されるのはなぜですか。

    AD FS サーバーへの接続用に提供した資格情報に、WAP サーバーを管理する権限がない場合は、WAP サーバーの管理権限のある資格情報が要求されます。

  • サーバーがオフラインとして表示されます。 どうしたらいいでしょう。

    サーバーがオフラインの場合、Microsoft Entra Connect はどのような操作も実行できません。 サーバーが AD FS ファームの一部である場合は、サーバーへの接続を確認します。 問題を解決した後は、ウィザードで更新アイコンをクリックして状態を更新します。 以前はファームの一部であったサーバーがもはや存在しない場合は、[削除] をクリックして、Microsoft Entra Connect が保持するサーバーの一覧からそのサーバーを削除します。 Microsoft Entra Connect の一覧からサーバーを削除しても、AD FS の構成自体は変更されません。 Windows Server 2016 以降の AD FS を使用している場合、サーバーは構成設定に残るため、タスクを実行するともう一度表示されます。

  • 新しい TLS/SSL 証明書でファーム サーバーのサブセットを更新できますか。

    はい。 いつでも、SSL 証明書の更新タスクを再び実行して、残りのサーバーを更新できます。 [SSL 証明書の更新を実行するサーバーを選択します] ページでは、[SSL の有効期限] でサーバーの一覧を並べ替えて、まだ更新されていないサーバーに簡単にアクセスできます。

  • 以前の実行でサーバーを削除しましたが、[AD FS サーバー] ページの一覧にオフラインとしてまだ表示されます。 削除した後にオフライン サーバーがまだ表示されるのはなぜですか。

    Microsoft Entra Connect の一覧からサーバーを削除しても、AD FS の構成からは削除されません。 Microsoft Entra Connect は、ファームに関するあらゆる情報を取得するために AD FS (Windows Server 2016 以降) を参照します。 サーバーが AD FS の構成に存在する場合は、再び一覧に表示されます。

次のステップ