Обновление TLS- и SSL-сертификатов для фермы службы федерации Active Directory (AD FS)

Обзор

В этой статье описывается обновление TLS- и SSL-сертификатов для фермы служб федерации Active Directory (AD FS) с помощью Azure AD Connect. С помощью инструмента Azure AD Connect можно легко обновить сертификат для фермы AD FS, даже если заданный метод входа пользователей не является методом AD FS.

Операцию обновления TLS- или SSL-сертификата для фермы AD FS во всей федерации и на серверах прокси-службы веб-приложения (WAP) можно полностью выполнить за три простых шага.

Три шага

Примечание

Дополнительные сведения о сертификатах, используемых службами AD FS, см. в статье Общее представление о сертификатах, используемых службами федерации Active Directory.

Предварительные требования

  • Ферма AD FS. Убедитесь, что ферма AD FS работает под управлением Windows Server 2012 R2 или более поздней версии.
  • Azure AD Connect. Убедитесь, что используется Azure AD Connect версии 1.1.553.0 или более поздней версии. Вы используете задачу Обновление SSL-сертификата AD FS.

Обновите задачу TLS

Шаг 1. Предоставление сведений о ферме AD FS

Azure AD Connect попытается автоматически получить сведения о ферме AD FS следующими способами:

  1. Запросив сведения о ферме из AD FS (Windows Server 2016 или более поздней версии).
  2. Просмотрев сведения из предыдущих выполнений (сохраненных локально с Azure AD Connect).

Отображаемый список серверов можно изменить путем добавления или изменения серверов в соответствии с текущей конфигурацией фермы AD FS. Сразу после предоставления сведений о сервере Azure AD Connect отобразит состояние подключения и текущее состояние сертификатов TLS и SSL.

Сведения о сервере AD FS

Если в списке содержится сервер, который больше не является частью фермы AD FS, щелкните Удалить, чтобы удалить его из списка серверов в ферме AD FS.

Автономный сервер в списке

Примечание

Удаление сервера из списка серверов в ферме AD FS в Azure AD Connect является локальной операцией, которая обновляет данные для фермы AD FS, обслуживаемой Azure AD Connect в локальном режиме. Для отображения изменений Azure AD Connect не изменит конфигурацию в AD FS.

Шаг 2. Указание нового сертификата TLS или SSL

После подтверждения сведений о серверах фермы AD FS вы получите запрос на новый сертификат от Azure AD Connect. Чтобы продолжить установку, укажите защищенный паролем PFX-сертификат.

TLS- или SSL-сертификат

После предоставления сертификата Azure AD Connect выполнит необходимые процедуры. Проверьте, что указан правильный сертификат для фермы AD FS.

  • Имя субъекта или альтернативное имя субъекта сертификата совпадает с именем службы федерации или является именем группового сертификата.
  • Сертификат действителен в течение более чем 30 дней.
  • Цепь доверия сертификатов является допустимой.
  • Сертификат защищен паролем.

Шаг 3. Выбор серверов для обновления

На следующем шаге выберите серверы, для которых необходимо обновить сертификат. Серверы, которые находятся в автономном режиме, выбирать нельзя.

Выбор серверов для обновления

По завершении настройки Azure AD Connect отобразит сообщение, указывающее состояние обновления, и предоставит возможность проверки входа в AD FS.

Завершение настройки

Часто задаваемые вопросы

  • Что должно собой представлять имя субъекта сертификата для нового TLS- или SSL-сертификата AD FS?

    Azure AD Connect проверяет, содержит ли имя субъекта или альтернативное имя субъекта сертификата имя службы федерации. Например, если имя службы федерации — fs.contoso.com, именем субъекта или альтернативным именем субъекта должно быть fs.contoso.com. Поддерживаются также групповые сертификаты.

  • Почему на странице сервера WAP появляется повторный запрос на ввод учетных данных?

    Если указанные учетные данные для подключения к серверам AD FS не имеют прав на управление серверами WAP, Azure AD Connect выведет запрос на ввод учетных данных с административными привилегиями на WAP-серверах.

  • Сервер находится в автономном режиме.   Что следует делать?

    Если сервер находится вне сети, Azure AD Connect не может выполнять никаких операций. Если сервер является частью фермы AD FS, проверьте подключение к нему. Устранив проблему, щелкните значок обновления, чтобы изменить состояние в мастере. Если сервер ранее входил в ферму, но уже не существует, щелкните Удалить, чтобы удалить его из списка серверов, поддерживаемых Azure AD Connect. Удаление сервера из списка в Azure AD Connect не приводит к изменению самой конфигурации AD FS. При использовании AD FS в Windows Server 2016 или более поздней версии сервер останется в параметрах конфигурации и отобразится при следующем запуске задачи.

  • Можно ли обновить подмножество серверов фермы с помощью нового TLS- или SSL-сертификата?

    Да. Задачу Обновить SSL-сертификат можно запускать повторно, чтобы обновить оставшиеся серверы. На странице Выберите серверы, на которых нужно обновить SSL-сертификат можно отсортировать список серверов на странице Срок действия SSL, чтобы без труда обращаться к серверам, которые пока не обновлены.

  • Сервер был удален во время предыдущего запуска, но он по-прежнему отображается как находящийся вне сети и указан на странице серверов AD FS. Почему этот автономный сервер по-прежнему существует даже после удаления?

    Удаление сервера из списка в Azure AD Connect не приводит к его удалению из конфигурации AD FS. Azure AD Connect обращается к AD FS (Windows Server 2016 или более поздней версии) для получения сведений о ферме. Если сервер по-прежнему присутствует в конфигурации AD FS, он будет указан в списке.

Дальнейшие действия