Partilhar via

Rotação de emergência dos certificados AD FS

  • Artigo

Se você precisar alternar os certificados dos Serviços de Federação do Ative Directory (AD FS) imediatamente, siga as etapas neste artigo.

Importante

A rotação de certificados no ambiente do AD FS revoga os certificados antigos imediatamente, e o tempo que normalmente leva para os parceiros de federação consumirem o novo certificado é ignorado. A ação também pode resultar em uma interrupção de serviço à medida que as relações de confiança são atualizadas para usar os novos certificados. A interrupção deve ser resolvida depois que todos os parceiros da federação tiverem os novos certificados.

Nota

É altamente recomendável que você use um módulo de segurança de hardware (HSM) para proteger e proteger certificados. Para obter mais informações, consulte a seção Módulo de Segurança de Hardware nas práticas recomendadas para proteger o AD FS.

Determinar a impressão digital do seu Certificado de Assinatura de Token

Para revogar o antigo Certificado de Assinatura de Token que o AD FS está usando no momento, você precisa determinar a impressão digital do certificado de assinatura de token. Efetue o seguinte procedimento:

  1. Conecte-se ao Microsoft Online Service executando no PowerShell Connect-MsolService.

  2. Documente a impressão digital e as datas de validade do Certificado de Assinatura de Token local e na nuvem executando Get-MsolFederationProperty -DomainName <domain>o .

  3. Copie a impressão digital. Você o usará mais tarde para remover os certificados existentes.

Você também pode obter a impressão digital usando o Gerenciamento do AD FS. Vá para Certificados de Serviço>, clique com o botão direito do mouse no certificado, selecione Exibir certificado e, em seguida, selecione Detalhes.

Determinar se o AD FS renova os certificados automaticamente

Por padrão, o AD FS é configurado para gerar assinatura de token e certificados de descriptografia de token automaticamente. Ele faz isso durante a configuração inicial e quando os certificados estão se aproximando de sua data de validade.

Você pode executar o seguinte comando do PowerShell: Get-AdfsProperties | FL AutoCert*, Certificate*.

A AutoCertificateRollover propriedade descreve se o AD FS está configurado para renovar a assinatura de token e os certificados de descriptografia de token automaticamente. Efetue um dos seguintes procedimentos:

Se AutoCertificateRollover estiver definido como TRUE, gere um novo certificado autoassinado

Nesta seção, você cria dois certificados de assinatura de token. O primeiro usa o -urgent sinalizador, que substitui o certificado primário atual imediatamente. O segundo é usado para o certificado secundário.

Importante

Você está criando dois certificados porque o Microsoft Entra ID mantém informações sobre o certificado anterior. Ao criar um segundo, você está forçando o Microsoft Entra ID a liberar informações sobre o certificado antigo e substituí-lo por informações sobre o segundo.

Se você não criar o segundo certificado e atualizar o Microsoft Entra ID com ele, talvez seja possível que o antigo certificado de assinatura de token autentique os usuários.

Para gerar os novos certificados de assinatura de token, faça o seguinte:

  1. Verifique se você está conectado ao servidor AD FS primário.

  2. Abra o Windows PowerShell Como um administrador.

  3. Certifique-se de que AutoCertificateRollover está definido como True executando no PowerShell:

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. Para gerar um novo certificado de assinatura de token, execute:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. Verifique a atualização executando:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. Agora gere o segundo certificado de assinatura de token executando:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. Você pode verificar a atualização executando o seguinte comando novamente:

    Get-ADFSCertificate -CertificateType Token-Signing

Se AutoCertificateRollover estiver definido como FALSE, gere novos certificados manualmente

Se você não estiver usando os certificados padrão de assinatura de token e descriptografia de token autoassinados gerados automaticamente, deverá renovar e configurar esses certificados manualmente. Isso envolve criar dois novos certificados de assinatura de token e importá-los. Em seguida, promova um para primário, revogue o certificado antigo e configure o segundo certificado como o certificado secundário.

Primeiro, você deve obter dois novos certificados de sua autoridade de certificação e importá-los para o armazenamento de certificados pessoais da máquina local em cada servidor de federação. Para obter instruções, consulte Importar um certificado.

Importante

Você está criando dois certificados porque o Microsoft Entra ID mantém informações sobre o certificado anterior. Ao criar um segundo, você está forçando o Microsoft Entra ID a liberar informações sobre o certificado antigo e substituí-lo por informações sobre o segundo.

Se você não criar o segundo certificado e atualizar o Microsoft Entra ID com ele, talvez seja possível que o antigo certificado de assinatura de token autentique os usuários.

Configurar um novo certificado como um certificado secundário

Em seguida, configure um certificado como o certificado secundário de assinatura ou descriptografia de token do AD FS e promova-o para o principal.

  1. Depois de importar o certificado, abra o console de Gerenciamento do AD FS.

  2. Expanda Serviço e selecione Certificados.

  3. No painel Ações, selecione Adicionar Certificado de Assinatura de Token.

  4. Selecione o novo certificado na lista de certificados exibidos e, em seguida, selecione OK.

Promover o novo certificado do secundário para o primário

Agora que você importou o novo certificado e o configurou no AD FS, precisa defini-lo como o certificado principal.

  1. Abra o console de Gerenciamento do AD FS.

  2. Expanda Serviço e selecione Certificados.

  3. Selecione o certificado de assinatura de token secundário.

  4. No painel Ações, selecione Definir como principal. No prompt, selecione Sim.

  5. Depois de promover o novo certificado como o certificado principal, você deve remover o certificado antigo porque ele ainda pode ser usado. Para obter mais informações, consulte a seção Remover seus certificados antigos.

Para configurar o segundo certificado como um certificado secundário

Agora que você adicionou o primeiro certificado, tornou-o primário e removeu o antigo, você pode importar o segundo certificado. Configure o certificado como o certificado de assinatura de token do AD FS secundário fazendo o seguinte:

  1. Depois de importar o certificado, abra o console de Gerenciamento do AD FS.

  2. Expanda Serviço e selecione Certificados.

  3. No painel Ações, selecione Adicionar Certificado de Assinatura de Token.

  4. Selecione o novo certificado na lista de certificados exibidos e, em seguida, selecione OK.

Atualize a ID do Microsoft Entra com o novo certificado de assinatura de token

  1. Abra o módulo Azure AD PowerShell. Como alternativa, abra o Windows PowerShell e execute o Import-Module msonline comando.

  2. Conecte-se ao Microsoft Entra ID executando o seguinte comando:

    Connect-MsolService

  3. Insira suas credenciais de Administrador de Identidade Híbrida .

    Nota

    Se você estiver executando esses comandos em um computador que não seja o servidor de federação principal, digite primeiro o seguinte comando:

    Set-MsolADFSContext -Computer <servername>

    Substitua <servername> pelo nome do servidor AD FS e, em seguida, no prompt, insira as credenciais de administrador para o servidor AD FS.

  4. Opcionalmente, verifique se uma atualização é necessária verificando as informações atuais do certificado no Microsoft Entra ID. Para fazer isso, execute o seguinte comando: Get-MsolFederationProperty. Digite o nome do domínio federado quando solicitado.

  5. Para atualizar as informações do certificado no Microsoft Entra ID, execute o seguinte comando: Update-MsolFederatedDomain e, em seguida, digite o nome de domínio quando solicitado.

    Nota

    Se você receber um erro ao executar esse comando, execute Update-MsolFederatedDomain -SupportMultipleDomain e, em seguida, no prompt, digite o nome do domínio.

Substituir certificados SSL

Se você precisar substituir seu certificado de assinatura de token devido a um comprometimento, também deverá revogar e substituir os certificados SSL (Secure Sockets Layer) para AD FS e seus servidores WAP (Web Application Proxy).

A revogação dos certificados SSL deve ser feita na autoridade de certificação (CA) que emitiu o certificado. Estes certificados são frequentemente emitidos por fornecedores externos, como a GoDaddy. Para obter um exemplo, consulte Revogar um certificado | Certificados SSL - GoDaddy Ajude-nos. Para obter mais informações, consulte Como funciona a revogação de certificados.

Depois que o certificado SSL antigo for revogado e um novo for emitido, você poderá substituir os certificados SSL. Para obter mais informações, consulte Substituir o certificado SSL para AD FS.

Remover os certificados antigos

Depois de substituir os certificados antigos, remova o certificado antigo porque ele ainda pode ser usado. Para tal:

  1. Verifique se você está conectado ao servidor AD FS primário.

  2. Abra o Windows PowerShell Como um administrador.

  3. Para remover o certificado de assinatura de token antigo, execute:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Atualizar parceiros de federação que podem consumir metadados de federação

Se tiver renovado e configurado uma nova assinatura de token ou certificado de desencriptação de token, deve certificar-se de que todos os seus parceiros de federação recolheram os novos certificados. Esta lista inclui parceiros de organização de recursos ou de organização de conta que são representados no AD FS por confianças de terceira parte confiável e confianças de provedor de declarações.

Atualizar parceiros de federação que não podem consumir metadados de federação

Se os seus parceiros de federação não puderem consumir os metadados da federação, tem de lhes enviar manualmente a chave pública do seu novo certificado de assinatura/desencriptação de tokens. Envie sua nova chave pública de certificado (arquivo .cer ou .p7b se quiser incluir toda a cadeia) para todos os parceiros da organização de recursos ou da organização da conta (representados no AD FS por confianças de terceira parte confiável e confianças de provedor de declarações). Peça aos parceiros que implementem alterações do seu lado para confiar nos novos certificados.

Revogar os tokens de atualização por meio do PowerShell

Agora você quer revogar os tokens de atualização para usuários que possam tê-los e forçá-los a fazer login novamente e obter novos tokens. Isso desconecta os usuários de seus telefones, sessões de webmail atuais e outros locais que estão usando tokens e tokens de atualização. Para obter mais informações, consulte Revoke-AzureADUserAllRefreshToken. Consulte também Revogar acesso de usuário no Microsoft Entra ID.

Nota

Os módulos Azure AD e MSOnline PowerShell foram preteridos a partir de 30 de março de 2024. Para saber mais, leia a atualização de descontinuação. Após essa data, o suporte para esses módulos é limitado à assistência de migração para o SDK do Microsoft Graph PowerShell e correções de segurança. Os módulos preteridos continuarão a funcionar até 30 de março de 2025.

Recomendamos migrar para o Microsoft Graph PowerShell para interagir com o Microsoft Entra ID (anteriormente Azure AD). Para perguntas comuns sobre migração, consulte as Perguntas frequentes sobre migração. Nota: As versões 1.0.x do MSOnline podem sofrer interrupções após 30 de junho de 2024.

Próximos passos