Aktualizowanie certyfikatu TLS/SSL dla farmy usług Active Directory Federation Services (AD FS)
Omówienie
W tym artykule opisano sposób używania Połączenie firmy Microsoft do aktualizowania certyfikatu TLS/SSL dla farmy usług Active Directory Federation Services (AD FS). Możesz użyć narzędzia Microsoft Entra Połączenie, aby łatwo zaktualizować certyfikat TLS/SSL dla farmy usług AD FS, nawet jeśli wybrana metoda logowania użytkownika nie jest usługAMI AD FS.
Cała operacja aktualizowania certyfikatu TLS/SSL dla farmy usług AD FS na wszystkich serwerach federacyjnych i internetowych serwer proxy aplikacji (WAP) można wykonać w trzech prostych krokach:
Uwaga
Aby dowiedzieć się więcej o certyfikatach używanych przez usługi AD FS, zobacz Opis certyfikatów używanych przez usługi AD FS.
Wymagania wstępne
- Farma usług AD FS: upewnij się, że farma usług AD FS jest oparta na systemie Windows Server 2012 R2 lub nowszym.
- Microsoft Entra Połączenie: upewnij się, że wersja microsoft Entra Połączenie to 1.1.553.0 lub nowsza. Użyjesz zadania Aktualizowanie certyfikatu SSL usług AD FS.
Krok 1. Podawanie informacji o farmie usług AD FS
Firma Microsoft Entra Połączenie próbuje automatycznie uzyskać informacje o farmie usług AD FS przez:
- Wykonywanie zapytań dotyczących informacji farmy z usług AD FS (Windows Server 2016 lub nowszych).
- Odwołując się do informacji z poprzednich przebiegów, które są przechowywane lokalnie w usłudze Microsoft Entra Połączenie.
Można zmodyfikować listę serwerów, które są wyświetlane, dodając lub usuwając serwery, aby odzwierciedlać bieżącą konfigurację farmy usług AD FS. Po podaniu informacji o serwerze firma Microsoft Entra Połączenie wyświetla łączność i bieżący stan certyfikatu TLS/SSL.
Jeśli lista zawiera serwer, który nie jest już częścią farmy usług AD FS, kliknij przycisk Usuń , aby usunąć serwer z listy serwerów w farmie usług AD FS.
Uwaga
Usunięcie serwera z listy serwerów farmy usług AD FS w firmie Microsoft Entra Połączenie jest operacją lokalną i aktualizuje informacje dla farmy usług AD FS, którą firma Microsoft Entra Połączenie utrzymuje lokalnie. Firma Microsoft Entra Połączenie nie modyfikuje konfiguracji w usługach AD FS w celu odzwierciedlenia zmiany.
Krok 2. Podawanie nowego certyfikatu TLS/SSL
Po potwierdzeniu informacji o serwerach farmy usług AD FS firma Microsoft Entra Połączenie prosi o nowy certyfikat TLS/SSL. Podaj certyfikat PFX chroniony hasłem, aby kontynuować instalację.
Po podaniu certyfikatu firma Microsoft Entra Połączenie przechodzi przez szereg wymagań wstępnych. Sprawdź certyfikat, aby upewnić się, że certyfikat jest poprawny dla farmy usług AD FS:
- Nazwa podmiotu/alternatywna nazwa podmiotu certyfikatu jest taka sama jak nazwa usługi federacyjnej lub jest to certyfikat wieloznaczny.
- Certyfikat jest ważny przez ponad 30 dni.
- Łańcuch zaufania certyfikatów jest prawidłowy.
- Certyfikat jest chroniony hasłem.
Krok 3. Wybieranie serwerów dla aktualizacji
W następnym kroku wybierz serwery, które muszą mieć zaktualizowany certyfikat TLS/SSL. Nie można wybrać serwerów w trybie offline dla aktualizacji.
Po zakończeniu konfiguracji firma Microsoft Entra Połączenie wyświetla komunikat wskazujący stan aktualizacji i udostępnia opcję weryfikacji logowania usług AD FS.
— często zadawane pytania
Jaka powinna być nazwa podmiotu certyfikatu dla nowego certyfikatu TLS/SSL usług AD FS?
Microsoft Entra Połączenie sprawdza, czy nazwa podmiotu/alternatywna nazwa podmiotu certyfikatu zawiera nazwę usługi federacyjnej. Jeśli na przykład nazwa usługi federacyjnej jest fs.contoso.com, nazwa podmiotu/alternatywna nazwa podmiotu musi być fs.contoso.com. Akceptowane są również certyfikaty z symbolami wieloznacznymi.
Dlaczego na stronie serwera WAP zostanie ponownie wyświetlony monit o podanie poświadczeń?
Jeśli poświadczenia podane do nawiązywania połączenia z serwerami usług AD FS nie mają również uprawnień do zarządzania serwerami WAP, firma Microsoft Entra Połączenie prosi o poświadczenia, które mają uprawnienia administracyjne na serwerach WAP.
Serwer jest wyświetlany jako offline. Co mam robić?
Firma Microsoft Entra Połączenie nie może wykonać żadnej operacji, jeśli serwer jest w trybie offline. Jeśli serwer jest częścią farmy usług AD FS, sprawdź łączność z serwerem. Po rozwiązaniu problemu naciśnij ikonę odświeżania, aby zaktualizować stan w kreatorze. Jeśli serwer był częścią farmy wcześniej, ale teraz nie istnieje, kliknij przycisk Usuń, aby usunąć go z listy serwerów, które firma Microsoft Entra Połączenie utrzymuje. Usunięcie serwera z listy w usłudze Microsoft Entra Połączenie nie powoduje zmiany samej konfiguracji usług AD FS. Jeśli używasz usług AD FS w systemie Windows Server 2016 lub nowszym, serwer pozostaje w ustawieniach konfiguracji i będzie wyświetlany ponownie przy następnym uruchomieniu zadania.
Czy mogę zaktualizować podzestaw serwerów farmy przy użyciu nowego certyfikatu TLS/SSL?
Tak. Zawsze można ponownie uruchomić zadanie Aktualizuj certyfikat SSL, aby zaktualizować pozostałe serwery. Na stronie Wybieranie serwerów aktualizacji certyfikatów SSL można posortować listę serwerów w dniu wygaśnięcia protokołu SSL, aby łatwo uzyskać dostęp do serwerów, które nie zostały jeszcze zaktualizowane.
Usunięto serwer w poprzednim przebiegu, ale nadal jest wyświetlany jako offline i wyświetlany na stronie Serwery usług AD FS. Dlaczego serwer offline jest nadal dostępny nawet po usunięciu go?
Usunięcie serwera z listy w usłudze Microsoft Entra Połączenie nie powoduje usunięcia go w konfiguracji usług AD FS. Firma Microsoft Entra Połączenie odwołuje się do usług AD FS (Windows Server 2016 lub nowszych) dla wszelkich informacji o farmie. Jeśli serwer jest nadal obecny w konfiguracji usług AD FS, zostanie wyświetlony z powrotem na liście.