İngilizce dilinde oku

Aracılığıyla paylaş

Microsoft 365 ve Microsoft Entra Id için federasyon sertifikalarını yenileme

  • Makale

Genel bakış

Microsoft Entra Id ve Active Directory Federasyon Hizmetleri (AD FS) arasında başarılı bir federasyon için, AD FS tarafından Microsoft Entra Id'ye güvenlik belirteçleri imzalamak için kullanılan sertifikalar, Microsoft Entra Id'de yapılandırılan sertifikalarla eşleşmelidir. Uyuşmazlıklar güvenin bozulmasına neden olabilir. Microsoft Entra Id, AD FS ve Web Uygulaması Ara Sunucusu dağıttığınızda (extranet erişimi için) bu bilgilerin eşitlenmiş olarak tutulmasını sağlar.

Not

Bu makalede, federasyon sertifikalarınızı yönetme hakkında bilgi sağlanır. Acil durum döndürme hakkında daha fazla bilgi için bkz. AD FS sertifikalarının acil durum rotasyonu

Bu makalede, aşağıdaki durumlarda belirteç imzalama sertifikalarınızı yönetmek ve Bunları Microsoft Entra Id ile eşitlenmiş durumda tutmak için ek bilgiler sağlanır:

  • Web Uygulaması Proxy'sini dağıtmazsınız ve bu nedenle federasyon meta verileri extranette kullanılamaz.
  • Belirteç imzalama sertifikaları için AD FS'nin varsayılan yapılandırmasını kullanmıyorsunuz.
  • Üçüncü taraf kimlik sağlayıcısı kullanıyorsunuz.

Önemli

Microsoft, sertifikaları korumak ve güvenli hale getirmek için donanım güvenlik modülü (HSM) kullanmanızı kesinlikle önerir. Daha fazla bilgi için AD FS'yi güvenli hale getirmek için en iyi yöntemler altında Donanım Güvenlik Modülü bölümüne bakın.

Belirteç imzalama sertifikaları için AD FS'nin varsayılan yapılandırması

Belirteç imzalama ve belirteç şifre çözme sertifikaları genellikle otomatik olarak imzalanan sertifikalardır ve bir yıl boyunca geçerlidir. Varsayılan olarak AD FS, AutoCertificateRolloveradlı bir otomatik yenileme işlemi içerir. AD FS 2.0 veya sonraki bir sürümü kullanıyorsanız Microsoft 365 ve Microsoft Entra ID, sertifikanızın süresi dolmadan önce sertifikanızı otomatik olarak güncelleştirir.

Microsoft 365 yönetim merkezinden veya e-postadan yenileme bildirimi

Not

Office sertifikanızı yenilemenizi isteyen bir e-posta aldıysanız, herhangi bir işlem yapmanız gerekip gerekmediğini denetlemek için Belirteç imzalama sertifikalarındaki değişiklikleri yönetmeyle ilgili bilgilere bakınız: . Microsoft, hiçbir eylem gerekmese bile sertifika yenileme bildirimlerinin gönderilmesine neden olabilecek olası bir sorunun farkındadır.

Microsoft Entra ID, federasyon meta verilerini izlemeye ve belirteç imzalama sertifikalarını bu meta veriler tarafından gösterildiği şekilde güncellemeye çalışır. Belirteç imzalama sertifikalarının süresinin dolmasından otuz beş (35) gün önce Microsoft Entra ID, federasyon meta verilerini yoklayarak yeni sertifikaların kullanılabilir olup olmadığını denetler.

  • Federasyon meta verilerini başarıyla yoklayabilir ve yeni sertifikaları alabilirse kullanıcıya e-posta bildirimi verilmez.
  • Eğer yeni belirteç imzalama sertifikalarını alamıyorsa, bunun nedeni ya federasyon meta verilerine ulaşılamaması ya da otomatik sertifika geçişinin etkinleştirilmemiş olmasıdır, Microsoft Entra ID bir e-posta gönderir.

Önemli

AD FS kullanıyorsanız, iş sürekliliğini sağlamak için sunucularınızın aşağıdaki güncelleştirmelere sahip olduğunu doğrulayın; böylece bilinen sorunlarda kimlik doğrulama hataları oluşmaz. Bu, bu yenileme ve gelecekteki yenileme dönemleri için bilinen AD FS proxy sunucusu sorunlarını azaltır:

Server 2012 R2 - Windows Server Mayıs 2014 güncelleştirme paketi

Sunucu 2008 R2 ve 2012 - Windows Server 2012 veya Windows Server 2008 R2 SP1'de Proxy üzerinden Kimlik Doğrulaması başarısız oluyor.

Sertifikaların güncelleştirilip güncelleştirilmediğini denetleyin

1. Adım: AutoCertificateRollover durumunu denetleyin

AD FS sunucunuzda PowerShell'i açın. AutoCertificateRollover değerinin True olarak ayarlandığından emin olun.

Azure PowerShell 
Get-Adfsproperties

AutoCertificateRollover

Not

AD FS 2.0 kullanıyorsanız, önce Microsoft.Adfs.Powershell Add-Pssnapin çalıştırın.

2. Adım: AD FS ve Microsoft Entra Id'nin eşitlendiğini onaylayın

AD FS sunucunuzda MSOnline PowerShell istemini açın ve Microsoft Entra Id'ye bağlanın.

Not

MSOL-Cmdlets MSOnline PowerShell modülünün bir parçasıdır. MSOnline PowerShell modülünü doğrudan PowerShell Galerisi'nden indirebilirsiniz.

Azure PowerShell 
Install-Module MSOnline

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesiokuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşimde bulunabilmek için Microsoft Graph PowerShell geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için bkz. Geçiş hakkında SSS. Not: MSOnline'ın Sürümleri 1.0.x, 30 Haziran 2024'den sonra kesintiye neden olabilir.

MSOnline PowerShell-Module kullanarak Microsoft Entra Id'ye bağlanın.

Azure PowerShell 
Import-Module MSOnline
Connect-MsolService

Belirtilen etki alanı için AD FS ve Microsoft Entra Id güven özelliklerinde yapılandırılan sertifikaları denetleyin.

Azure PowerShell 
Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Her iki çıktıdaki parmak izleri de eşleşiyorsa sertifikalarınız Microsoft Entra Id ile eşitlenir.

3. Adım: Sertifikanızın süresinin dolmak üzere olup olmadığını denetleyin

Get-MsolFederationProperty veya Get-AdfsCertificate çıkışında " Sonra Değil" altındaki tarihi denetleyin. Tarihe 35 günden kısa bir süre kaldıysa, işlem yapmanız gerekir.

Otomatik Sertifika Yenileme Microsoft Entra Id ile eşitlenen sertifikalar Federasyon meta verileri genel olarak erişilebilir Geçerlik Eylem
Evet Evet Evet - Eyleme gerek yoktur. Bkz. Jeton imzalama sertifikasını otomatik olarak yenile.
Evet Hayır - 15 günden az Hemen yenileyin. bkz. Belirteç imzalama sertifikasını el ile yenileme.
Hayır - - 35 günden az Hemen yenileyin. bkz. Jeton imzalama sertifikasını elle yenileme.

[-] Önemli değil

Jeton imzalama sertifikasını otomatik olarak yenileme (önerilen)

Aşağıdakilerin her ikisi de doğruysa el ile herhangi bir adım gerçekleştirmeniz gerekmez:

  • Extranetten federasyon meta verilerine erişimi etkinleştirebilen Web Uygulaması Ara Sunucusu dağıttınız.
  • AD FS varsayılan yapılandırmasını kullanıyorsunuz (AutoCertificateRollover etkinleştirildi).

Sertifikanın otomatik olarak güncelleştirilebildiğini onaylamak için aşağıdakileri denetleyin.

1. AUTOCertificateRollover AD FS özelliği True olarak ayarlanmalıdır. Bu, AD FS'nin eski belirteçlerin süresi dolmadan önce otomatik olarak yeni belirteç imzalama ve belirteç şifre çözme sertifikaları oluşturduğunu gösterir.

2. AD FS federasyon meta verilerine genel erişim sağlanır. Genel İnternet üzerindeki bir bilgisayardan (şirket ağı dışında) aşağıdaki URL'ye giderek federasyon meta verilerinizin genel olarak erişilebilir olup olmadığını denetleyin:

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

burada (your_FS_name), kuruluşunuzun kullandığı federasyon hizmeti ana bilgisayar adıyla (örneğin, fs.contoso.com) değiştirilir. Bu ayarların ikisini de başarıyla doğrulayabilirseniz başka bir şey yapmanız gerekmez.

Örnek: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Jeton imzalama sertifikasını manuel olarak yenileme

Belirteç imzalama sertifikalarını el ile yenilemeyi seçebilirsiniz. Örneğin, aşağıdaki senaryolar el ile yenileme için daha iyi çalışabilir:

  • Belirteç imzalama sertifikaları otomatik olarak imzalanan sertifikalar değildir. Bunun en yaygın nedeni, kuruluşunuzun bir kuruluş sertifika yetkilisinden kaydedilen AD FS sertifikalarını yönetmesidir.
  • Ağ güvenliği, federasyon meta verilerinin genel kullanıma sunulmasına izin vermez.
  • Federasyon etki alanını mevcut bir federasyon hizmetinden yeni bir federasyon hizmetine geçiriyorsunuz.

Önemli

Mevcut bir federatif etki alanını yeni bir federasyon hizmetine geçiriyorsanız, AD FS sertifikalarının acil durum yenileme kılavuzu 'i izlemeniz önerilir

Bu senaryolarda, belirteç imzalama sertifikalarını her güncelleştirdiğinizde, Update-MsolFederatedDomain PowerShell komutunu kullanarak Microsoft 365 etki alanınızı da güncelleştirmeniz gerekir.

1. Adım: AD FS'de yeni imza atma sertifikaları olduğundan emin olun

Varsayılan olmayan yapılandırma

AD FS'nin varsayılan olmayan bir yapılandırmasını kullanıyorsanız (AutoCertificateRollover Falseolarak ayarlanmışsa), büyük olasılıkla özel sertifikalar kullanıyorsunuzdur (otomatik olarak imzalanmamış). AD FS belirteç imzalama sertifikalarını yenileme hakkında daha fazla bilgi için bkz. Federasyon sunucuları için sertifika gereksinimleri.

Federasyon meta verileri genel kullanıma açık değildir

Öte yandan, AutoCertificateRolloverTrueolarak ayarlandıysa, ancak federasyon meta verilerinize genel olarak erişilemiyorsa, önce AD FS'nin yeni belirteç imzalama sertifikaları oluşturduğundan emin olun. Aşağıdaki adımları uygulayarak yeni belirteç imzalama sertifikalarına sahip olduğunuzu onaylayın:

  1. Birincil AD FS sunucusunda oturum açtığınızı doğrulayın.

  2. Bir PowerShell komut penceresi açıp aşağıdaki komutu çalıştırarak AD FS'de geçerli imzalama sertifikalarını denetleyin:

    Get-ADFSCertificate -CertificateType Token-Signing

    Not

    AD FS 2.0 kullanıyorsanız, önce Add-Pssnapin Microsoft.Adfs.Powershell çalıştırmanız gerekir.

  3. Listelenen tüm sertifikalarda komut çıkışına bakın. AD FS yeni bir sertifika oluşturduysa, çıktıda iki sertifika görmeniz gerekir: biri için IsPrimary değeri True ve NotAfter tarihi 5 gün içindedir, diğeri için ise IsPrimaryFalse ve NotAfter yaklaşık bir yıl ilerdedir.

  4. Yalnızca bir sertifika görüyorsanız ve NotAfter tarihi 5 gün içindeyse, yeni bir sertifika oluşturmanız gerekir.

  5. Yeni bir sertifika oluşturmak için bir PowerShell komut isteminde aşağıdaki komutu yürütebilirsiniz: Update-ADFSCertificate -CertificateType Token-Signing.

  6. Aşağıdaki komutu yeniden çalıştırarak güncelleştirmeyi doğrulayın: Get-ADFSCertificate -CertificateType Token-Signing

Şimdi, iki sertifika listelenmelidir; bunlardan biri, gelecekteki bir yıl içinde NotAfter tarihi olan ve IsPrimary değerinin Falseolduğu.

2. Adım: Microsoft 365 güveni için yeni belirteç imzalama sertifikalarını güncelleştirme

Microsoft 365'i güven için kullanılacak yeni belirteç imzalama sertifikalarıyla aşağıdaki gibi güncelleştirin.

  1. Azure AD PowerShell modülünü açın.
  2. $cred=Get-Credentialçalıştırın. Bu cmdlet sizden kimlik bilgilerini istendiğinde, bulut hizmeti yönetici hesabı kimlik bilgilerinizi yazın.
  3. Connect-MsolService -Credential $credçalıştırın. Bu cmdlet sizi bulut hizmetine bağlar. Araç tarafından yüklenen ek cmdlet'lerden herhangi birini çalıştırmadan önce sizi bulut hizmetine bağlayan bir bağlam oluşturmak gerekir.
  4. Bu komutları AD FS birincil federasyon sunucusu olmayan bir bilgisayarda çalıştırıyorsanız, Set-MSOLAdfscontext -Computer <AD FS primary server>çalıştırın; burada AD FS birincil sunucusu><birincil AD FS sunucusunun iç FQDN adıdır. Bu cmdlet, sizi AD FS'ye bağlayan bir bağlam oluşturur.
  5. Update-MSOLFederatedDomain -DomainName <domain>çalıştırın. Bu cmdlet, AD FS'den bulut hizmetine ayarları güncelleştirir ve ikisi arasındaki güven ilişkisini yapılandırılır.

Not

contoso.com ve fabrikam.com gibi birden çok üst düzey etki alanını desteklemeniz gerekiyorsa, SupportMultipleDomain anahtarını tüm cmdlet'lerle kullanmanız gerekir. Daha fazla bilgi için bkz. Birden Çok Üst Düzey Etki Alanı desteği.

Kiracınız birden fazla etki alanıyla federasyon içindeyse, Get-MsolDomain -Authentication Federatedçıktısında listelenen tüm etki alanları için Update-MsolFederatedDomain çalıştırılması gerekir. Bu, tüm federasyon etki alanlarının Token-Signing sertifikasına güncelleştirilmesini sağlar. Şunu çalıştırarak bunu başarabilirsiniz: Get-MsolDomain -Authentication Federated | % { Update-MsolFederatedDomain -DomainName $_.Name -SupportMultipleDomain }

Microsoft Entra Connect kullanarak Microsoft Entra ID güvenini onarma

AD FS grubunuzu ve Microsoft Entra Id güveninizi Microsoft Entra Connect kullanarak yapılandırdıysanız, belirteç imzalama sertifikalarınız için herhangi bir işlem yapmanız gerekip gerekmediğini algılamak için Microsoft Entra Connect'i kullanabilirsiniz. Sertifikaları yenilemeniz gerekiyorsa, bunu yapmak için Microsoft Entra Connect'i kullanabilirsiniz.

Daha fazla bilgi için bkz. güveni onarma.

AD FS ve Microsoft Entra sertifika güncelleştirme adımları

Belirteç imzalama sertifikaları, federasyon sunucusunun karşılaştığı tüm belirteçleri güvenli bir şekilde imzalamak için kullanılan standart X509 sertifikalarıdır. Belirteç şifre çözme sertifikaları, gelen belirteçlerin şifresini çözmek için kullanılan standart X509 sertifikalarıdır.

Varsayılan olarak AD FS, hem ilk yapılandırma zamanında hem de sertifikaların son kullanma tarihine yaklaştığında otomatik olarak belirteç imzalama ve belirteç şifre çözme sertifikaları oluşturacak şekilde yapılandırılır.

Microsoft Entra Id, geçerli sertifikanın süresi dolmadan 35 gün önce federasyon hizmeti meta verilerinizden yeni bir sertifika almaya çalışır. O sırada yeni bir sertifikanın kullanılamaması durumunda, Microsoft Entra Id düzenli günlük aralıklarla meta verileri izlemeye devam eder. Meta verilerde yeni sertifika kullanılabilir duruma gelir gelmez, etki alanının federasyon ayarları yeni sertifika bilgileriyle güncelleştirilir. NextSigningCertificate / SigningCertificate içinde yeni sertifikayı görüp görmediğinizi doğrulamak için Get-MsolDomainFederationSettings kullanabilirsiniz.

AD FS'de Belirteç İmzalama sertifikaları hakkında daha fazla bilgi için bkz. AD FS için Belirteç İmzalama ve Belirteç Şifre Çözme Sertifikalarını Alma ve Yapılandırma