Delen via

Noodrotatie van de AD FS-certificaten

  • Artikel

Als u de Ad FS-certificaten (Active Directory Federation Services) onmiddellijk moet roteren, kunt u de stappen in dit artikel volgen.

Belangrijk

Het roteren van certificaten in de AD FS-omgeving trekt de oude certificaten onmiddellijk in en de tijd die doorgaans nodig is voor uw federatiepartners om uw nieuwe certificaat te gebruiken, wordt overgeslagen. De actie kan ook leiden tot een servicestoring omdat vertrouwensupdates de nieuwe certificaten gebruiken. De storing moet worden opgelost nadat alle federatiepartners de nieuwe certificaten hebben.

Notitie

U wordt ten zeerste aangeraden een HSM (Hardware Security Module) te gebruiken om certificaten te beveiligen en te beveiligen. Zie de sectie Hardware Security Module in de aanbevolen procedures voor het beveiligen van AD FS voor meer informatie.

De vingerafdruk van uw tokenondertekeningscertificaat bepalen

Als u het oude tokenondertekeningscertificaat wilt intrekken dat AD FS momenteel gebruikt, moet u de vingerafdruk van het tokenondertekeningscertificaat bepalen. Ga als volgt te werk:

  1. Verbinding maken naar de Microsoft Online-service door deze uit te voeren in PowerShellConnect-MsolService.

  2. Documenteer zowel de vingerafdruk van uw on-premises als cloudtokenondertekeningcertificaat en vervaldatums door deze uit te voeren Get-MsolFederationProperty -DomainName <domain>.

  3. Kopieer de vingerafdruk omlaag. U gebruikt deze later om de bestaande certificaten te verwijderen.

U kunt de vingerafdruk ook ophalen met AD FS-beheer. Ga naar Servicecertificaten>, klik met de rechtermuisknop op het certificaat, selecteer Certificaat weergeven en selecteer Details.

Bepalen of AD FS de certificaten automatisch verlengt

AD FS is standaard geconfigureerd om certificaten voor tokenondertekening en tokenontsleuteling automatisch te genereren. Dit gebeurt zowel tijdens de eerste configuratie als wanneer de certificaten de vervaldatum naderen.

U kunt de volgende PowerShell-opdracht uitvoeren: Get-AdfsProperties | FL AutoCert*, Certificate*.

De AutoCertificateRollover eigenschap beschrijft of AD FS is geconfigureerd voor het automatisch vernieuwen van tokenondertekening en token ontsleuteling certificaten. Voer een van de volgende bewerkingen uit:

Als AutoCertificateRollover is ingesteld op TRUE, genereert u een nieuw zelfondertekend certificaat

In deze sectie maakt u twee certificaten voor token-ondertekening. De eerste gebruikt de -urgent vlag, die het huidige primaire certificaat onmiddellijk vervangt. De tweede wordt gebruikt voor het secundaire certificaat.

Belangrijk

U maakt twee certificaten omdat De Microsoft Entra-id informatie over het vorige certificaat bevat. Door een tweede certificaat te maken, dwingt u microsoft Entra-id af om informatie over het oude certificaat vrij te geven en te vervangen door informatie over de tweede.

Als u het tweede certificaat niet maakt en Microsoft Entra-id hiermee bijwerkt, is het mogelijk dat het oude certificaat voor tokenondertekening gebruikers kan verifiëren.

Ga als volgt te werk om de nieuwe certificaten voor tokenondertekening te genereren:

  1. Zorg ervoor dat u bent aangemeld bij de primaire AD FS-server.

  2. Open Windows PowerShell als administrator.

  3. Zorg ervoor dat dit AutoCertificateRollover is ingesteld True door uit te voeren in PowerShell:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Voer het volgende uit om een nieuw certificaat voor tokenondertekening te genereren:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Controleer de update door het volgende uit te voeren:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Genereer nu het tweede certificaat voor tokenondertekening door het volgende uit te voeren:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. U kunt de update controleren door de volgende opdracht opnieuw uit te voeren:

    Get-ADFSCertificate -CertificateType Token-Signing

Als AutoCertificateRollover is ingesteld op FALSE, genereert u handmatig nieuwe certificaten

Als u niet de standaard automatisch gegenereerde, zelfondertekende certificaten voor tokenondertekening en tokenontsleuteling gebruikt, moet u deze certificaten handmatig vernieuwen en configureren. Dit omvat het maken van twee nieuwe certificaten voor token-ondertekening en het importeren ervan. Vervolgens promovt u er een naar primair, trekt u het oude certificaat in en configureert u het tweede certificaat als het secundaire certificaat.

Eerst moet u twee nieuwe certificaten van uw certificeringsinstantie verkrijgen en deze importeren in het persoonlijke certificaatarchief van de lokale computer op elke federatieserver. Zie Een certificaat importeren voor instructies.

Belangrijk

U maakt twee certificaten omdat De Microsoft Entra-id informatie over het vorige certificaat bevat. Door een tweede certificaat te maken, dwingt u microsoft Entra-id af om informatie over het oude certificaat vrij te geven en te vervangen door informatie over de tweede.

Als u het tweede certificaat niet maakt en Microsoft Entra-id hiermee bijwerkt, is het mogelijk dat het oude certificaat voor tokenondertekening gebruikers kan verifiëren.

Een nieuw certificaat configureren als een secundair certificaat

Configureer vervolgens één certificaat als het secundaire AD FS-tokenondertekenings- of ontsleutelingscertificaat en promoveer het vervolgens naar de primaire.

  1. Nadat u het certificaat hebt geïmporteerd, opent u de AD FS-beheerconsole .

  2. Vouw De service uit en selecteer Certificaten.

  3. Selecteer in het deelvenster Acties de optie Token-handtekeningcertificaat toevoegen.

  4. Selecteer het nieuwe certificaat in de lijst met weergegeven certificaten en selecteer VERVOLGENS OK.

Het nieuwe certificaat promoveren van secundair naar primair

Nu u het nieuwe certificaat hebt geïmporteerd en geconfigureerd in AD FS, moet u het instellen als het primaire certificaat.

  1. Open de AD FS-beheerconsole .

  2. Vouw De service uit en selecteer Certificaten.

  3. Selecteer het secundaire certificaat voor tokenondertekening.

  4. Selecteer In het deelvenster Acties de optie Instellen als primair. Selecteer Ja bij de prompt.

  5. Nadat u het nieuwe certificaat als primair certificaat hebt gepromoveerd, moet u het oude certificaat verwijderen omdat het nog steeds kan worden gebruikt. Zie de sectie Uw oude certificaten verwijderen voor meer informatie.

Het tweede certificaat configureren als een secundair certificaat

Nu u het eerste certificaat hebt toegevoegd, het primair hebt gemaakt en het oude hebt verwijderd, kunt u het tweede certificaat importeren. Configureer het certificaat als het secundaire AD FS-tokenondertekeningscertificaat door het volgende te doen:

  1. Nadat u het certificaat hebt geïmporteerd, opent u de AD FS-beheerconsole .

  2. Vouw De service uit en selecteer Certificaten.

  3. Selecteer in het deelvenster Acties de optie Token-handtekeningcertificaat toevoegen.

  4. Selecteer het nieuwe certificaat in de lijst met weergegeven certificaten en selecteer VERVOLGENS OK.

Microsoft Entra-id bijwerken met het nieuwe certificaat voor token-ondertekening

  1. Open de Azure AD PowerShell-module. U kunt ook Windows PowerShell openen en vervolgens de Import-Module msonline opdracht uitvoeren.

  2. Verbinding maken naar Microsoft Entra-id door de volgende opdracht uit te voeren:

    Connect-MsolService

  3. Voer uw referenties voor hybride identiteit in Beheer istrator.

    Notitie

    Als u deze opdrachten uitvoert op een computer die niet de primaire federatieserver is, voert u eerst de volgende opdracht in:

    Set-MsolADFSContext -Computer <servername>

    Vervang <de servernaam> door de naam van de AD FS-server en voer vervolgens bij de prompt de beheerdersreferenties voor de AD FS-server in.

  4. Controleer eventueel of een update is vereist door de huidige certificaatgegevens in Microsoft Entra-id te controleren. Voer hiervoor de volgende opdracht uit: Get-MsolFederationProperty. Voer de naam van het federatieve domein in wanneer u hierom wordt gevraagd.

  5. Als u de certificaatgegevens in Microsoft Entra ID wilt bijwerken, voert u de volgende opdracht uit: Update-MsolFederatedDomain en voert u de domeinnaam in wanneer u hierom wordt gevraagd.

    Notitie

    Als er een fout optreedt wanneer u deze opdracht uitvoert, voert u deze uit Update-MsolFederatedDomain -SupportMultipleDomain en voert u bij de prompt de domeinnaam in.

SSL-certificaten vervangen

Als u het certificaat voor tokenondertekening moet vervangen vanwege een inbreuk, moet u ook de SSL-certificaten (Secure Sockets Layer) voor AD FS en uw WAP-servers (Web toepassingsproxy) intrekken en vervangen.

Het intrekken van uw SSL-certificaten moet worden uitgevoerd bij de certificeringsinstantie (CA) die het certificaat heeft uitgegeven. Deze certificaten worden vaak uitgegeven door externe providers, zoals GoDaddy. Zie Een certificaat intrekken | SSL-certificaten - GoDaddy Help ONS. Zie Hoe certificaatintrekking werkt voor meer informatie.

Nadat het oude SSL-certificaat is ingetrokken en er een nieuw certificaat is uitgegeven, kunt u de SSL-certificaten vervangen. Zie Het SSL-certificaat voor AD FS vervangen voor meer informatie.

Uw oude certificaten verwijderen

Nadat u uw oude certificaten hebt vervangen, moet u het oude certificaat verwijderen omdat het nog steeds kan worden gebruikt. Hiervoor doet u het volgende:

  1. Zorg ervoor dat u bent aangemeld bij de primaire AD FS-server.

  2. Open Windows PowerShell als administrator.

  3. Als u het oude certificaat voor tokenondertekening wilt verwijderen, voert u het volgende uit:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Federatiepartners bijwerken die federatiemetagegevens kunnen gebruiken

Als u een nieuw certificaat voor tokenondertekening of tokenontsleuteling hebt vernieuwd en geconfigureerd, moet u ervoor zorgen dat alle federatiepartners de nieuwe certificaten hebben opgehaald. Deze lijst bevat resourceorganisatie- of accountorganisatiepartners die worden vertegenwoordigd in AD FS door relying party vertrouwensrelaties en claims provider vertrouwensrelaties.

Federatiepartners bijwerken die geen federatiemetagegevens kunnen gebruiken

Als uw federatiepartners uw federatiemetagegevens niet kunnen gebruiken, moet u deze handmatig de openbare sleutel van uw nieuwe tokenondertekening/tokenontsleutelingscertificaat verzenden. Stuur uw nieuwe openbare certificaatsleutel (.cer-bestand of .p7b als u de hele keten wilt opnemen) naar al uw resourceorganisatie- of accountorganisatiepartners (vertegenwoordigd in uw AD FS door vertrouwensrelaties van relying party's en vertrouwensrelaties van claimproviders). Laat de partners wijzigingen aan hun kant implementeren om de nieuwe certificaten te vertrouwen.

De vernieuwingstokens intrekken via PowerShell

Nu wilt u de vernieuwingstokens intrekken voor gebruikers die ze mogelijk hebben en afdwingen dat ze zich opnieuw aanmelden en nieuwe tokens ophalen. Hiermee worden gebruikers afgelogd van hun telefoons, huidige webmailsessies en andere plaatsen die tokens gebruiken en tokens vernieuwen. Zie Revoke-AzureADUserAllRefreshToken voor meer informatie. Zie Ook De gebruikerstoegang intrekken in Microsoft Entra-id.

Notitie

Azure AD- en MSOnline PowerShell-modules zijn vanaf 30 maart 2024 afgeschaft. Lees de afschaffingsupdate voor meer informatie. Na deze datum is ondersteuning voor deze modules beperkt tot migratieondersteuning voor Microsoft Graph PowerShell SDK en beveiligingsoplossingen. De afgeschafte modules blijven functioneren tot en met 30 maart 2025.

Het is raadzaam om te migreren naar Microsoft Graph PowerShell om te communiceren met Microsoft Entra ID (voorheen Azure AD). Raadpleeg de veelgestelde vragen over migratie voor veelgestelde vragen over migratie. Opmerking: versies 1.0.x van MSOnline kunnen na 30 juni 2024 onderbrekingen ondervinden.

Volgende stappen