Экстренная смена сертификатов AD FS

Если необходимо немедленно повернуть сертификаты службы федерации Active Directory (AD FS) (AD FS), выполните действия, описанные в этой статье.

Внимание

Смена сертификатов в среде AD FS немедленно отменяет старые сертификаты и время, которое обычно требуется партнерам федерации для использования нового сертификата. Это действие также может привести к сбою службы в качестве обновления доверия для использования новых сертификатов. Сбой должен быть разрешен после того, как все партнеры федерации имеют новые сертификаты.

Примечание.

Настоятельно рекомендуется использовать аппаратный модуль безопасности (HSM) для защиты и защиты сертификатов. Дополнительные сведения см. в разделе "Модуль безопасности оборудования" в рекомендациях по защите AD FS.

Определение отпечатка сертификата для подписи маркера

Чтобы отозвать старый сертификат подписи маркера, который в настоящее время использует AD FS, необходимо определить отпечаток сертификата подписи маркера. Выполните следующие действия.

1. Подключение в Microsoft Online Service, выполнив команду PowerShellConnect-MsolService.

2. Задокументируйте локальный и облачный отпечаток сертификата подписи маркеров, выполнив команду Get-MsolFederationProperty -DomainName <domain>.

3. Скопируйте отпечаток. Вы будете использовать его позже, чтобы удалить существующие сертификаты.

Вы также можете получить отпечаток с помощью службы управления AD FS. Перейдите к сертификатам службы>, щелкните правой кнопкой мыши сертификат, выберите "Просмотреть сертификат" и выберите "Сведения".

Определите, будут ли службы федерации Active Directory (AD FS) автоматически обновлять сертификаты.

По умолчанию AD FS настраивается для автоматического создания сертификатов подписи маркеров и расшифровки маркеров. Он делает это как во время начальной конфигурации, так и при приближении сертификатов к дате окончания срока действия.

Вы можете выполнить следующую команду PowerShell: Get-AdfsProperties | FL AutoCert*, Certificate*

Свойство AutoCertificateRollover описывает, настроен ли AD FS для автоматического обновления подписи маркеров и расшифровки сертификатов маркеров. Выполните одно из приведенных ниже действий.

• Если AutoCertificateRollover задано значение TRUE, создайте самозаверяющий сертификат.
• Если AutoCertificateRollover задано значение FALSE, создайте новые сертификаты вручную.

Если параметр AutoCertificateRollover имеет значение TRUE, создайте новый самозаверяющий сертификат.

В этом разделе описано, как создать два сертификата подписи токенов. Первый использует -urgent флаг, который немедленно заменяет текущий первичный сертификат. Второй используется для дополнительного сертификата.

Внимание

Вы создаете два сертификата, так как идентификатор Microsoft Entra хранит сведения о предыдущем сертификате. Создав вторую, вы заставляете идентификатор Microsoft Entra освободить сведения о старом сертификате и заменить его сведениями о втором.

Если вы не создаете второй сертификат и обновляете идентификатор Microsoft Entra с ним, возможно, старый сертификат подписи маркеров может пройти проверку подлинности пользователей.

Чтобы создать новые сертификаты подписывания маркеров, выполните следующие действия.

1. Убедитесь, что вы вошли на основной сервер AD FS.

2. Откройте Windows PowerShell от имени администратора.

3. Убедитесь, что установлено True значениеAutoCertificateRollover, выполнив в PowerShell следующее:

   Get-AdfsProperties | FL AutoCert*, Certificate*

4. Чтобы создать сертификат подписи маркера, выполните следующую команду:

   Update-ADFSCertificate -CertificateType Token-Signing -Urgent

5. Проверьте обновление, выполнив следующую команду:

   Get-ADFSCertificate -CertificateType Token-Signing

6. Теперь создайте второй сертификат подписи маркера, выполнив следующую команду:

   Update-ADFSCertificate -CertificateType Token-Signing

7. Чтобы проверить обновление, выполните следующую команду еще раз:

   Get-ADFSCertificate -CertificateType Token-Signing

Если параметр AutoCertificateRollover имеет значение FALSE, создайте новые сертификаты вручную.

Если вы не используете автоматически созданный по умолчанию самозаверяющий подписывание маркеров и сертификаты расшифровки маркеров, необходимо обновить и настроить эти сертификаты вручную. Это предполагает создание двух новых сертификатов подписывания маркеров и их импорта. Затем вы продвигаете один на первичный, отменяете старый сертификат и настраиваете второй сертификат в качестве дополнительного сертификата.

Сначала необходимо получить два новых сертификата из центра сертификации и импортировать их в локальное хранилище персональных сертификатов компьютера на каждом сервере федерации. Инструкции см. в разделе "Импорт сертификата".

Внимание

Вы создаете два сертификата, так как идентификатор Microsoft Entra хранит сведения о предыдущем сертификате. Создав вторую, вы заставляете идентификатор Microsoft Entra освободить сведения о старом сертификате и заменить его сведениями о втором.

Если вы не создаете второй сертификат и обновляете идентификатор Microsoft Entra с ним, возможно, старый сертификат подписи маркеров может пройти проверку подлинности пользователей.

Настройка нового сертификата в качестве дополнительного сертификата

Затем настройте один сертификат в качестве дополнительного сертификата подписи или расшифровки маркера AD FS, а затем доведите его до основного.

1. После импорта сертификата откройте консоль управления AD FS.

2. Разверните службу и выберите "Сертификаты".

3. На панели "Действия" выберите "Добавить сертификат подписи маркера".

4. Выберите новый сертификат из списка отображаемых сертификатов и нажмите кнопку "ОК".

Повышение уровня нового сертификата от вторичного до первичного

Теперь, когда вы импортировали новый сертификат и настроили его в AD FS, необходимо задать его в качестве первичного сертификата.

1. Откройте консоль Управление AD FS.

2. Разверните службу и выберите "Сертификаты".

3. Выберите сертификат подписи дополнительного маркера.

4. На панели "Действия" выберите "Задать в качестве основного". В командной строке нажмите кнопку "Да".

5. После продвижения нового сертификата в качестве основного сертификата следует удалить старый сертификат, так как он по-прежнему может использоваться. Дополнительные сведения см. в разделе "Удаление старых сертификатов ".

Настройка второго сертификата как дополнительного

Теперь, когда вы добавили первый сертификат, сделали его основным и удалили старый сертификат, вы можете импортировать второй сертификат. Настройте сертификат в качестве дополнительного сертификата подписи маркера AD FS, выполнив следующие действия.

1. После импорта сертификата откройте консоль управления AD FS.

2. Разверните службу и выберите "Сертификаты".

3. На панели "Действия" выберите "Добавить сертификат подписи маркера".

4. Выберите новый сертификат из списка отображаемых сертификатов и нажмите кнопку "ОК".

Обновление идентификатора Microsoft Entra с помощью нового сертификата подписи маркеров

1. Откройте модуль Azure AD PowerShell. Кроме того, откройте Windows PowerShell и выполните Import-Module msonline команду.

2. Подключение идентификатору Microsoft Entra, выполнив следующую команду:

   Connect-MsolService

3. Введите учетные данные гибридного удостоверения Администратор istrator.

   Примечание.

   Если вы выполняете эти команды на компьютере, который не является основным сервером федерации, сначала введите следующую команду:

   Set-MsolADFSContext -Computer <servername>

   Замените <имя> сервера AD FS именем, а затем введите учетные данные администратора для сервера AD FS.

4. При необходимости проверьте, требуется ли обновление, проверка сведения о текущем сертификате в идентификаторе Microsoft Entra. Для этого выполните команду Get-MsolFederationProperty. Введите имя федеративного домена после отображения запроса.

5. Чтобы обновить сведения о сертификате в идентификаторе Microsoft Entra, выполните следующую команду: Update-MsolFederatedDomain а затем введите доменное имя при появлении запроса.

   Примечание.

   Если при выполнении этой команды возникает ошибка, выполните Update-MsolFederatedDomain -SupportMultipleDomain и в командной строке введите доменное имя.

Замена SSL-сертификатов

Если вам нужно заменить сертификат подписи маркеров из-за компрометации, необходимо также отозвать и заменить сертификаты SSL для серверов AD FS и прокси веб-приложения (WAP).

Отзыв SSL-сертификатов должен выполняться в центре сертификации (ЦС), выдавшем сертификат. Эти сертификаты часто выдаются сторонними поставщиками, такими как GoDaddy. Пример см. в разделе "Отзыв сертификата" | SSL-сертификаты — GoDaddy help US. Дополнительные сведения см. в статье о работе отзыва сертификатов.

После отзыва старого SSL-сертификата и нового выданного сертификата можно заменить SSL-сертификаты. Дополнительные сведения см. в разделе "Замена SSL-сертификата для AD FS".

Удаление старых сертификатов

После замены старых сертификатов необходимо удалить старый сертификат, так как он по-прежнему можно использовать. Для этого:

1. Убедитесь, что вы вошли на основной сервер AD FS.

2. Откройте Windows PowerShell от имени администратора.

3. Чтобы удалить старый сертификат подписи маркера, выполните следующую команду:

   Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Обновление партнеров федерации, которые могут использовать метаданные федерации

Если вы обновили и настроили новый сертификат подписи маркера или сертификата расшифровки маркеров, необходимо убедиться, что все ваши партнеры федерации выбрали новые сертификаты. Этот список включает в себя партнеров по организации ресурсов или учетных записей, представленных в AD FS, путем доверия проверяющей стороны и доверия поставщика утверждений.

Обновление партнеров федерации, которые не могут использовать метаданные федерации

Если ваши партнеры федерации не могут использовать метаданные федерации, необходимо вручную отправить им открытый ключ нового сертификата подписи маркера или расшифровки маркеров. Отправьте новый открытый ключ сертификата (.cer файл или P7b, если вы хотите включить всю цепочку) всем партнерам организации ресурсов или организации учетной записи (представленным в AD FS, проверяющей стороной доверия и доверия поставщика утверждений). Убедитесь, что партнеры внесли изменения на своей стороне, чтобы доверять новым сертификатам.

Отмена маркеров обновления с помощью PowerShell

Теперь вы хотите отозвать маркеры обновления для пользователей, которые могут иметь их, и принудительно выполнить вход снова и получить новые маркеры. Это регистрирует пользователей из своих телефонов, текущих сеансов веб-почты и других мест, использующих маркеры и маркеры обновления. Дополнительные сведения см. в статье Revoke-AzureADUserAllRefreshToken. См. также раздел "Отзыв доступа пользователей" в идентификаторе Microsoft Entra.

Примечание.

Модули Azure AD и MSOnline PowerShell устарели с 30 марта 2024 г. Дополнительные сведения см. в обновлении об отмене. После этой даты поддержка этих модулей ограничена поддержкой миграции в пакет SDK Для Microsoft Graph PowerShell и исправления безопасности. Устаревшие модули будут продолжать функционировать до 30 марта 2025 года.

Рекомендуется перенести в Microsoft Graph PowerShell для взаимодействия с идентификатором Microsoft Entra (ранее — Azure AD). Часто задаваемые вопросы о миграции см. в разделе "Вопросы и ответы о миграции". Примечание. Версии 1.0.x MSOnline могут возникнуть сбоем после 30 июня 2024 г.

Следующие шаги

• Управление SSL-сертификатами в AD FS и WAP в Windows Server 2016
• Получение и настройка сертификатов подписи маркеров и расшифровки маркеров для AD FS
• Продление сертификатов федерации для идентификатора Microsoft 365 и Microsoft Entra