本页面介绍有关为使用 Microsoft Entra ID 作为标识提供程序 (IdP) 的应用程序管理证书的常见问题解答。
是否有方法生成即将过期的 SAML 签名证书列表?
可通过 PowerShell 脚本从目录中将包含指定应用的即将到期的机密、证书及其所有者的所有应用注册信息导出到一个 CSV 文件中。
哪里可以找到即将到期的证书更新步骤信息?
可以在此处找到步骤。
如何自定义 Microsoft Entra ID 颁发的证书的到期日期?
默认情况下,Microsoft Entra ID 将证书配置为在 SAML 单一登录配置过程中自动创建三年后过期。 由于在保存证书到期日期后无法更改该日期,因此需要创建新的证书。 有关具体操作步骤,请参阅自定义联合身份验证证书的到期日期以及滚动浏览到新证书。
注意
创建 SAML 应用程序的建议方法是通过 Microsoft Entra 应用程序库,该库会自动为你创建为期三年的有效的 X509 证书。
如何自动执行证书过期通知?
Microsoft Entra ID 分别在 SAML 证书到期前 60 天、30 天和 7 天发送电子邮件通知。 可添加多个电子邮件地址来接收通知。
注意
最多可以在通知列表中添加 5 个电子邮件地址(包括添加应用程序的管理员的电子邮件地址)。 如果需要通知更多人员,请使用通讯组列表电子邮件。
若要指定发送通知的目标电子邮件地址,请参阅添加证书到期的电子邮件通知地址。
编辑或自定义从 aadnotification@microsoft.com 中收到的这些电子邮件通知的选项不存在。 不过,你可通过 PowerShell 脚本导出包含即将过期的机密和证书的应用注册。
谁可以更新证书?
应用程序所有者或应用程序管理员可以通过 Microsoft Entra 管理中心 UI、PowerShell 或 Microsoft Graph 更新证书。
我需要有关证书签名选项的更多详细信息
在 Microsoft Entra ID 中,可设置证书签名选项和证书签名算法。 如需了解详细信息,请参阅适用于 Microsoft Entra 应用程序的高级 SAML 令牌证书签名选项。
可以使用哪种类型的证书来配置 SAML 证书进行单一登录?
SAML 单一登录证书的建议取决于组织的安全要求和策略。 如果组织具有内部证书颁发机构 (PKI),则使用来自内部 PKI 的证书可以提供更高级别的安全性和信任。 如果你有内部 PKI,则其证书可提供更好的安全性和信任,因为你可以控制和监视它们。
如果组织未运行自己的证书颁发机构,请从公共证书颁发机构(如 DigiCert)获取证书。 组织信任这些证书颁发机构,并遵循严格的安全和验证规则,确保应用安全。
我需要更换 Microsoft Entra 应用程序代理应用的证书,并需要更多说明
若要更换 Microsoft Entra 应用程序代理应用程序的证书,请参阅 PowerShell 示例 - 更换应用程序代理应用中的证书。
如何管理 Microsoft Entra 应用程序代理中的自定义域证书?
要将本地应用配置为使用自定义域,需要具有已验证的 Microsoft Entra 自定义域、自定义域的 PFX 证书和要配置的本地应用。 有关详细信息,请参阅 Microsoft Entra 应用程序代理中的自定义域。
我需要更新应用程序端的令牌签名证书。 在哪里可以获取 Microsoft Entra ID 端?
可以续订 SAML x.509 证书:SAML 签名证书。
什么是 Microsoft Entra ID 签名密钥滚动更新?
可在此处找到更多详细信息。
如何续订应用程序令牌加密证书?
若要续订应用程序令牌加密证书,请参阅如何续订企业应用程序的令牌加密证书。
如何续订应用程序令牌签名证书?
若要续订应用程序令牌签名证书,请参阅如何为企业应用程序续订令牌签名证书。
如何在更改联合身份认证证书后更新 Microsoft Entra ID?
若要在更改联合身份认证证书后更新 Microsoft Entra ID,请参阅为 Microsoft 365 和 Microsoft Entra ID 续订联合身份认证证书。
是否可以在不同的应用间使用同一 SAML 证书?
首次在企业应用上配置 SSO 时,我们会提供跨 Microsoft Entra ID 使用的默认 SAML 证书。 但是,如果你需要跨多个非默认 Microsoft Entra 应用使用同一证书,请使用外部证书颁发机构并上传 PFX 文件。 原因是 Microsoft Entra ID 不提供从内部颁发的证书访问私钥的权限。