Aktualizowanie certyfikatu TLS/SSL dla farmy usług Active Directory Federation Services (AD FS)

  • Artykuł

Omówienie

W tym artykule opisano sposób używania Połączenie firmy Microsoft do aktualizowania certyfikatu TLS/SSL dla farmy usług Active Directory Federation Services (AD FS). Możesz użyć narzędzia Microsoft Entra Połączenie, aby łatwo zaktualizować certyfikat TLS/SSL dla farmy usług AD FS, nawet jeśli wybrana metoda logowania użytkownika nie jest usługAMI AD FS.

Cała operacja aktualizowania certyfikatu TLS/SSL dla farmy usług AD FS na wszystkich serwerach federacyjnych i internetowych serwer proxy aplikacji (WAP) można wykonać w trzech prostych krokach:

Three steps

Uwaga

Aby dowiedzieć się więcej o certyfikatach używanych przez usługi AD FS, zobacz Opis certyfikatów używanych przez usługi AD FS.

Wymagania wstępne

  • Farma usług AD FS: upewnij się, że farma usług AD FS jest oparta na systemie Windows Server 2012 R2 lub nowszym.
  • Microsoft Entra Połączenie: upewnij się, że wersja microsoft Entra Połączenie to 1.1.553.0 lub nowsza. Użyjesz zadania Aktualizowanie certyfikatu SSL usług AD FS.

Update TLS task

Krok 1. Podawanie informacji o farmie usług AD FS

Firma Microsoft Entra Połączenie próbuje automatycznie uzyskać informacje o farmie usług AD FS przez:

  1. Wykonywanie zapytań dotyczących informacji farmy z usług AD FS (Windows Server 2016 lub nowszych).
  2. Odwołując się do informacji z poprzednich przebiegów, które są przechowywane lokalnie w usłudze Microsoft Entra Połączenie.

Można zmodyfikować listę serwerów, które są wyświetlane, dodając lub usuwając serwery, aby odzwierciedlać bieżącą konfigurację farmy usług AD FS. Po podaniu informacji o serwerze firma Microsoft Entra Połączenie wyświetla łączność i bieżący stan certyfikatu TLS/SSL.

AD FS server info

Jeśli lista zawiera serwer, który nie jest już częścią farmy usług AD FS, kliknij przycisk Usuń , aby usunąć serwer z listy serwerów w farmie usług AD FS.

Offline server in list

Uwaga

Usunięcie serwera z listy serwerów farmy usług AD FS w firmie Microsoft Entra Połączenie jest operacją lokalną i aktualizuje informacje dla farmy usług AD FS, którą firma Microsoft Entra Połączenie utrzymuje lokalnie. Firma Microsoft Entra Połączenie nie modyfikuje konfiguracji w usługach AD FS w celu odzwierciedlenia zmiany.

Krok 2. Podawanie nowego certyfikatu TLS/SSL

Po potwierdzeniu informacji o serwerach farmy usług AD FS firma Microsoft Entra Połączenie prosi o nowy certyfikat TLS/SSL. Podaj certyfikat PFX chroniony hasłem, aby kontynuować instalację.

TLS/SSL certificate

Po podaniu certyfikatu firma Microsoft Entra Połączenie przechodzi przez szereg wymagań wstępnych. Sprawdź certyfikat, aby upewnić się, że certyfikat jest poprawny dla farmy usług AD FS:

  • Nazwa podmiotu/alternatywna nazwa podmiotu certyfikatu jest taka sama jak nazwa usługi federacyjnej lub jest to certyfikat wieloznaczny.
  • Certyfikat jest ważny przez ponad 30 dni.
  • Łańcuch zaufania certyfikatów jest prawidłowy.
  • Certyfikat jest chroniony hasłem.

Krok 3. Wybieranie serwerów dla aktualizacji

W następnym kroku wybierz serwery, które muszą mieć zaktualizowany certyfikat TLS/SSL. Nie można wybrać serwerów w trybie offline dla aktualizacji.

Select servers to update

Po zakończeniu konfiguracji firma Microsoft Entra Połączenie wyświetla komunikat wskazujący stan aktualizacji i udostępnia opcję weryfikacji logowania usług AD FS.

Configuration complete

— często zadawane pytania

  • Jaka powinna być nazwa podmiotu certyfikatu dla nowego certyfikatu TLS/SSL usług AD FS?

    Microsoft Entra Połączenie sprawdza, czy nazwa podmiotu/alternatywna nazwa podmiotu certyfikatu zawiera nazwę usługi federacyjnej. Jeśli na przykład nazwa usługi federacyjnej jest fs.contoso.com, nazwa podmiotu/alternatywna nazwa podmiotu musi być fs.contoso.com. Akceptowane są również certyfikaty z symbolami wieloznacznymi.

  • Dlaczego na stronie serwera WAP zostanie ponownie wyświetlony monit o podanie poświadczeń?

    Jeśli poświadczenia podane do nawiązywania połączenia z serwerami usług AD FS nie mają również uprawnień do zarządzania serwerami WAP, firma Microsoft Entra Połączenie prosi o poświadczenia, które mają uprawnienia administracyjne na serwerach WAP.

  • Serwer jest wyświetlany jako offline. Co mam robić?

    Firma Microsoft Entra Połączenie nie może wykonać żadnej operacji, jeśli serwer jest w trybie offline. Jeśli serwer jest częścią farmy usług AD FS, sprawdź łączność z serwerem. Po rozwiązaniu problemu naciśnij ikonę odświeżania, aby zaktualizować stan w kreatorze. Jeśli serwer był częścią farmy wcześniej, ale teraz nie istnieje, kliknij przycisk Usuń, aby usunąć go z listy serwerów, które firma Microsoft Entra Połączenie utrzymuje. Usunięcie serwera z listy w usłudze Microsoft Entra Połączenie nie powoduje zmiany samej konfiguracji usług AD FS. Jeśli używasz usług AD FS w systemie Windows Server 2016 lub nowszym, serwer pozostaje w ustawieniach konfiguracji i będzie wyświetlany ponownie przy następnym uruchomieniu zadania.

  • Czy mogę zaktualizować podzestaw serwerów farmy przy użyciu nowego certyfikatu TLS/SSL?

    Tak. Zawsze można ponownie uruchomić zadanie Aktualizuj certyfikat SSL, aby zaktualizować pozostałe serwery. Na stronie Wybieranie serwerów aktualizacji certyfikatów SSL można posortować listę serwerów w dniu wygaśnięcia protokołu SSL, aby łatwo uzyskać dostęp do serwerów, które nie zostały jeszcze zaktualizowane.

  • Usunięto serwer w poprzednim przebiegu, ale nadal jest wyświetlany jako offline i wyświetlany na stronie Serwery usług AD FS. Dlaczego serwer offline jest nadal dostępny nawet po usunięciu go?

    Usunięcie serwera z listy w usłudze Microsoft Entra Połączenie nie powoduje usunięcia go w konfiguracji usług AD FS. Firma Microsoft Entra Połączenie odwołuje się do usług AD FS (Windows Server 2016 lub nowszych) dla wszelkich informacji o farmie. Jeśli serwer jest nadal obecny w konfiguracji usług AD FS, zostanie wyświetlony z powrotem na liście.

Następne kroki