Rotação de emergência dos certificados do AD FS

Se você precisar substituir imediatamente os certificados do Active Directory Federation Services (AD FS), siga as etapas neste artigo.

Importante

A rotação de certificados no ambiente do AD FS revoga imediatamente os certificados antigos, e o tempo que normalmente leva para que seus parceiros de federação consumam seu novo certificado é ignorado. A ação também pode resultar em uma interrupção do serviço, pois as relações de confiança são atualizadas para usar os novos certificados. A interrupção deve ser solucionada depois que todos os parceiros de federação tiverem os novos certificados.

Observação

Nós recomendamos fortemente o uso de um HSM (Módulo de Segurança de Hardware) para proteger os certificados. Para obter mais informações, consulte a seção Módulo de Segurança de Hardware nas práticas recomendadas para proteger o AD FS.

Determinar a impressão digital do Certificado de Autenticação de Tokens

Para revogar o antigo Certificado de Autenticação de Tokens que o AD FS está usando atualmente, você precisa determinar a impressão digital desse certificado. Faça o seguinte:

1. Conecte-se ao Serviço Microsoft Online executando no PowerShell Connect-MsolService.

2. Documente as datas de validade e a impressão digital do Certificado de Autenticação de Tokens local e na nuvem executando Get-MsolFederationProperty -DomainName <domain>.

3. Copie a impressão digital. Ela será usada posteriormente para remover os certificados existentes.

Você também pode obter a impressão digital usando o Gerenciamento do AD FS. Vá paraCertificados de >, clique com o botão direito do mouse no certificado, selecione Exibir certificado e selecione Detalhes.

Determinar se o AD FS renova os certificados automaticamente

Por padrão, o AD FS é configurado para gerar automaticamente certificados de assinatura e de descriptografia de token. Ele faz isso durante a configuração inicial e quando os certificados estão se aproximando da data de validade.

Você pode executar o seguinte comando do PowerShell: Get-AdfsProperties | FL AutoCert*, Certificate*.

A propriedade AutoCertificateRollover descreve se o AD FS está configurado para renovar automaticamente os certificados de autenticação e de descriptografia de tokens. Siga um destes procedimentos:

• Se AutoCertificateRollover estiver definido como TRUE, gere um novo certificado autoassinado.
• Se AutoCertificateRollover estiver definido como FALSE, gere novos certificados manualmente.

Se AutoCertificateRollover estiver definido como TRUE, gere um novo certificado autoassinado

Nesta seção, você criará dois certificados de assinatura de token. O primeiro usa o sinalizador -urgent, que substitui o certificado primário atual imediatamente. O segundo é usado para o certificado secundário.

Importante

Você está criando dois certificados porque a ID do Microsoft Entra contém informações sobre o certificado anterior. Ao criar um segundo, você está forçando o Microsoft Entra ID a revelar informações sobre o certificado antigo e substituí-las por informações sobre o segundo.

Se você não criar o segundo certificado e atualizar a ID do Microsoft Entra com ele, talvez seja possível que o certificado de assinatura de token antigo autentique os usuários.

Para gerar os novos certificados de autenticação de tokens, faça o seguinte:

1. Verifique se você fez logon no servidor primário do AD FS.

2. Abra o Windows PowerShell como administrador.

3. Certifique-se de que AutoCertificateRollover esteja definido como True para executar no PowerShell:

   Get-AdfsProperties | FL AutoCert*, Certificate*

4. Para gerar um novo certificado de autenticação de tokens, execute:

   Update-ADFSCertificate -CertificateType Token-Signing -Urgent

5. Verifique a atualização executando:

   Get-ADFSCertificate -CertificateType Token-Signing

6. Agora, gere o segundo certificado de autenticação de tokens executando:

   Update-ADFSCertificate -CertificateType Token-Signing

7. Execute novamente o comando a seguir para verificar a atualização:.

   Get-ADFSCertificate -CertificateType Token-Signing

Se AutoCertificateRollover estiver definido como FALSE, gere novos certificados manualmente

Se você não estiver usando os certificados padrão de autenticação e descriptografia de tokens autoassinados que são gerados automaticamente, será necessário renová-los e configurá-los manualmente. Isso envolve criar e importar dois certificados de autenticação de tokens. Em seguida, promova um a primário, revogue o certificado antigo e configure o segundo certificado como secundário.

Em primeiro lugar, você deve obter dois novos certificados da sua autoridade de certificação e importá-los para o repositório de certificados pessoais do computador local em cada servidor de federação. Para obter instruções, consulte Importar um certificado.

Importante

Você está criando dois certificados porque a ID do Microsoft Entra contém informações sobre o certificado anterior. Ao criar um segundo, você está forçando o Microsoft Entra ID a revelar informações sobre o certificado antigo e substituí-las por informações sobre o segundo.

Se você não criar o segundo certificado e atualizar a ID do Microsoft Entra com ele, talvez seja possível que o certificado de assinatura de token antigo autentique os usuários.

Configurar um novo certificado como secundário

Em seguida, configure um certificado como o certificado secundário de autenticação ou de descriptografia de tokens do AD FS e depois promova-o para primário.

1. Depois de importar o certificado, abra o console de Gerenciamento do AD FS .

2. Expanda o Serviço e selecione Certificados.

3. No painel Ações , selecione Adicionar Token-Signing Certificado.

4. Selecione o novo certificado na lista de certificados exibidos e selecione OK.

Promoção do novo certificado de secundário para primário

Agora que o novo certificado foi importado e configurado no AD FS, você precisa defini-lo como certificado primário.

1. Abra o console de Gerenciamento do AD FS .

2. Expanda o Serviço e selecione Certificados.

3. Selecione o certificado de autenticação de token secundário.

4. No painel Ações , selecione Definir como Primário. Na solicitação, selecione Sim.

5. Depois de promover o novo certificado a primário, você deve remover o certificado antigo porque ele ainda pode ser usado. Para obter mais informações, consulte a seção Remover seus certificados antigos .

Para configurar o segundo certificado como secundário

Agora que já adicionou o primeiro certificado, tornou-o primário e removeu o antigo, você pode importar o segundo certificado. Configure o certificado como o certificado de assinatura de token secundário do AD FS fazendo o seguinte:

1. Depois de importar o certificado, abra o console de Gerenciamento do AD FS .

2. Expanda o Serviço e selecione Certificados.

3. No painel Ações , selecione Adicionar Token-Signing Certificado.

4. Selecione o novo certificado na lista de certificados exibidos e selecione OK.

Atualize o Microsoft Entra ID com o novo certificado de autenticação de tokens

1. Abra o módulo do PowerShell do Azure AD. Como alternativa, abra o Windows PowerShell e execute o comando Import-Module msonline.

2. Conecte-se à ID do Microsoft Entra executando o seguinte comando:

   Connect-MsolService

3. Insira suas credenciais de Administrador de Identidade Híbrida .

   Observação

   Se você estiver executando esses comandos em um computador que não seja o servidor de federação primário, primeiro insira o seguinte comando:

   Set-MsolADFSContext -Computer <servername>

   Substitua <servername> pelo nome do servidor do AD FS e, no prompt, insira as credenciais de administrador para o servidor do AD FS.

4. Como alternativa, verifique se é necessária uma atualização conferindo as informações sobre o certificado atual na ID do Microsoft Entra. Para fazer isso, execute o seguinte comando: Get-MsolFederationProperty. Quando solicitado, insira o nome do domínio federado.

5. Para atualizar as informações do certificado na ID do Microsoft Entra, execute o comando Update-MsolFederatedDomain e, quando solicitado, insira o nome de domínio.

   Observação

   Se você receber um erro ao executar esse comando, execute Update-MsolFederatedDomain -SupportMultipleDomain e, no prompt, insira o nome de domínio.

Substituir certificados SSL

Caso precise substituir seu certificado de autenticação de tokens por causa de um comprometimento, você também deve revogar e substituir os certificados SSL (Secure Sockets Layer) do AD FS e os servidores WAP (Proxy de Aplicativo Web).

A revogação dos certificados SSL deve ser feita na CA (autoridade de certificação) que emitiu o certificado. Esses certificados geralmente são emitidos por provedores terceirizados, como a GoDaddy. Para obter um exemplo, consulte Revogar um certificado | Certificados SSL – GoDaddy nos ajuda. Para obter mais informações, consulte Como funciona a revogação de certificado.

Você poderá substituir os certificados SSL depois que o certificado SSL antigo tiver sido revogado e um novo emitido. Para obter mais informações, consulte Substitua o certificado SSL para AD FS.

Remover certificados antigos

Após substituir os certificados antigos você deve removê-los, pois eles ainda podem ser usados. Para fazer isso:

1. Verifique se você fez logon no servidor primário do AD FS.

2. Abra o Windows PowerShell como administrador.

3. Para remover o certificado de autenticação de tokens antigo, execute:

   Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Atualizar parceiros de federação que podem consumir metadados federados

Se você renovou e configurou um novo certificado de assinatura ou de descriptografia de token, verifique se todos seus parceiros de federação obtiveram os novos certificados. Essa lista inclui parceiros da organização de recursos ou organização de contas que estão representados no AD FS por relações de confiança de terceira parte confiável e relações de confiança de provedores de declarações.

Atualizar parceiros de federação que não podem consumir metadados federados

Se os seus parceiros de federação não puderem consumir metadados federados, você deve enviar manualmente a eles a chave pública do novo certificado de autenticação/descriptografia de tokens. Envie sua nova chave pública do certificado (arquivo .cer ou .p7b se quiser incluir toda a cadeia) para todos os parceiros da organização de recursos ou da organização de contas (representados no AD FS por relações de confiança de terceira parte confiável e relações de confiança de provedores de declarações). Faça com que os parceiros implementem as alterações necessárias no lado deles para confiar nos novos certificados.

Revogar os tokens de atualização por meio do PowerShell

Agora você deseja revogar os tokens de atualização para usuários que podem tê-los e forçar esses usuários a fazer logon novamente e obter novos tokens. Isso desconectará os usuários de seus telefones, sessões de webmail atuais e outros locais que estão usando tokens e tokens de atualização. Para obter mais informações, confira Revoke-EntraUserAllRefreshToken. Consulte também Revogar o acesso do usuário no Microsoft Entra ID.

Próximas etapas

• Gerenciar certificados SSL no AD FS e WAP no Windows Server 2016
• Obter e configurar certificados de assinatura e descriptografia de token para o AD FS
• Renovar certificados de federação para o Microsoft 365 e a ID do Microsoft Entra