Share via

AD FS 憑證的緊急輪替

  • 文章

如果您需要立即輪替 Active Directory 同盟服務 (AD FS) 憑證,您可以遵循本文中的步驟。

重要

在AD FS環境中輪替憑證會立即撤銷舊的憑證,而且會略過同盟夥伴取用新憑證所需的時間。 動作也可能會導致服務中斷,因為信任更新以使用新的憑證。 所有同盟夥伴都有新的憑證之後,就應該解決中斷問題。

注意

強烈建議您使用硬體安全性模組 (HSM) 來保護及保護憑證。 如需詳細資訊,請參閱 保護AD FS的最佳作法中的硬體安全性模組 一節。

判斷您的令牌簽署憑證指紋

若要撤銷 AD FS 目前使用的舊令牌簽署憑證,您必須判斷令牌簽署憑證的指紋。 執行下列操作:

  1. 在 PowerShell Connect-MsolService中執行 ,以 連線 至 Microsoft Online Service。

  2. 執行 來記錄您的內部部署和雲端令牌簽署憑證指紋和到期日 Get-MsolFederationProperty -DomainName <domain>

  3. 複製指紋。 您稍後會使用它來移除現有的憑證。

您也可以使用AD FS管理來取得指紋。 移至 [服務>憑證],以滑鼠右鍵單擊憑證,選取 [檢視憑證],然後選取 [ 詳細數據]。

判斷 AD FS 是否自動更新憑證

根據預設,AD FS 會設定為自動產生權杖簽署和權杖解密憑證。 它會在初始設定期間和憑證接近到期日時執行此動作。

您可以執行下列 PowerShell 命令: Get-AdfsProperties | FL AutoCert*, Certificate*

屬性 AutoCertificateRollover 描述AD FS是否已設定為自動更新令牌簽署和令牌解密憑證。 執行下列任一步驟:

如果 AutoCertificateRollover 設定為 TRUE,請產生新的自我簽署憑證

在本節中,您會建立 兩個 令牌簽署憑證。 第一個會 -urgent 使用 旗標,這會立即取代目前的主要憑證。 第二個用於次要憑證。

重要

您正在建立兩個憑證,因為 Microsoft Entra ID 會保留先前憑證的相關信息。 藉由建立第二個憑證,您會強制 Microsoft Entra ID 釋放舊憑證的相關信息,並將它取代為第二個憑證的相關信息。

如果您未建立第二個憑證並更新 Microsoft Entra ID,則舊令牌簽署憑證可能會驗證使用者。

若要產生新的令牌簽署憑證,請執行下列動作:

  1. 請確定您已登入主要 AD FS 伺服器。

  2. 以系統管理員身分開啟 Windows PowerShell。

  3. 在 PowerShell 中執行 ,確定 AutoCertificateRollover 已設定為 True

    Get-AdfsProperties | FL AutoCert*, Certificate*

  4. 若要產生新的權杖簽署憑證,請執行:

    Update-ADFSCertificate -CertificateType Token-Signing -Urgent

  5. 執行下列命令來確認更新:

    Get-ADFSCertificate -CertificateType Token-Signing

  6. 現在執行下列命令來產生第二個令牌簽署憑證:

    Update-ADFSCertificate -CertificateType Token-Signing

  7. 您可以執行下列命令來驗證更新:

    Get-ADFSCertificate -CertificateType Token-Signing

如果 AutoCertificateRollover 設定為 FALSE,請手動產生新的憑證

如果您未使用自動產生的預設自我簽署令牌簽署和令牌解密憑證,您必須手動更新並設定這些憑證。 這樣做牽涉到建立兩個新的令牌簽署憑證,並匯入它們。 然後,您會將一個升級為主要憑證、撤銷舊憑證,並將第二個憑證設定為次要憑證。

首先,您必須從證書頒發機構單位取得兩個新憑證,並將其匯入每個同盟伺服器上的本機計算機個人證書存儲。 如需指示,請參閱 匯入憑證

重要

您正在建立兩個憑證,因為 Microsoft Entra ID 會保留先前憑證的相關信息。 藉由建立第二個憑證,您會強制 Microsoft Entra ID 釋放舊憑證的相關信息,並將它取代為第二個憑證的相關信息。

如果您未建立第二個憑證並更新 Microsoft Entra ID,則舊令牌簽署憑證可能會驗證使用者。

將新憑證設定為次要憑證

接下來,將一個憑證設定為次要AD FS令牌簽署或解密憑證,然後將其升級至主要憑證。

  1. 匯入憑證之後,請開啟 AD FS管理主控台

  2. 展開 [服務],然後選取 [ 憑證]。

  3. 在 [ 動作] 窗格中,選取 [新增令牌簽署憑證]。

  4. 在顯示的憑證清單中選取新憑證,然後選取 [確定]

將新憑證從次要提升為主要

既然您已匯入新的憑證,並在AD FS中加以設定,您必須將其設定為主要憑證。

  1. 開啟 [AD FS 管理] 主控台。

  2. 展開 [服務],然後選取 [ 憑證]。

  3. 選取次要權杖簽署憑證。

  4. 在 [動作] 窗格中,選取 [設定為主要]。 出現提示時,選取 [是]

  5. 將新憑證升級為主要憑證之後,您應該移除舊憑證,因為它仍然可以使用。 如需詳細資訊,請參閱 移除舊憑證 一節。

將第二個憑證設定為次要憑證

既然您已新增第一個憑證,讓它成為主要憑證,並移除舊的憑證,您可以匯入第二個憑證。 執行下列動作,將憑證設定為次要 AD FS 令牌簽署憑證:

  1. 匯入憑證之後,請開啟 AD FS管理主控台

  2. 展開 [服務],然後選取 [ 憑證]。

  3. 在 [ 動作] 窗格中,選取 [新增令牌簽署憑證]。

  4. 在顯示的憑證清單中選取新憑證,然後選取 [確定]

使用新的令牌簽署憑證更新 Microsoft Entra 識別碼

  1. 開啟 Azure AD PowerShell 模組。 或者,開啟 Windows PowerShell,然後執行 Import-Module msonline 命令。

  2. 執行下列命令以 連線 至 Microsoft Entra ID:

    Connect-MsolService

  3. 輸入您的混合式身分識別 管理員 istrator 認證。

    注意

    如果您在不是主要同盟伺服器的電腦上執行這些命令,請先輸入下列命令:

    Set-MsolADFSContext -Computer <servername>

    以AD FS 伺服器的名稱取代 <servername> ,然後在提示字元中輸入AD FS 伺服器的系統管理員認證。

  4. 或者,檢查 Microsoft Entra ID 中的目前憑證資訊,確認是否需要更新。 若要這樣做,請執行下列命令:Get-MsolFederationProperty。 出現提示時,請輸入同盟網域的名稱。

  5. 若要更新 Microsoft Entra ID 中的憑證資訊,請執行下列命令: Update-MsolFederatedDomain 然後在出現提示時輸入功能變數名稱。

    注意

    如果您在執行此命令時收到錯誤,請執行 Update-MsolFederatedDomain -SupportMultipleDomain ,然後在提示字元中輸入功能變數名稱。

取代 SSL 憑證

如果您需要因為洩露而取代令牌簽署憑證,您也應該撤銷並取代AD FS的安全套接字層 (SSL) 憑證,以及您的Web 應用程式 Proxy (WAP) 伺服器。

撤銷 SSL 憑證必須在簽發憑證的證書頒發機構單位 (CA) 上完成。 這些憑證通常是由第三方提供者所簽發,例如 GoDaddy。 如需範例,請參閱 撤銷憑證 |SSL 憑證 - GoDaddy 說明美國。 如需詳細資訊,請參閱 證書吊銷的運作方式。

撤銷舊的 SSL 憑證併發出新的 SSL 憑證之後,您可以取代 SSL 憑證。 如需詳細資訊,請參閱 取代AD FS的SSL憑證。

拿掉舊憑證

取代舊憑證之後,您應該移除舊憑證,因為它仍然可以使用。 若要這麼做︰

  1. 請確定您已登入主要 AD FS 伺服器。

  2. 以系統管理員身分開啟 Windows PowerShell。

  3. 若要移除舊的令牌簽署憑證,請執行:

    Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

更新可取用同盟元數據的同盟合作夥伴

如果您已更新並設定新的權杖簽署或令牌解密憑證,您必須確定所有同盟夥伴都已挑選新的憑證。 此清單包含信賴憑證者信任和宣告提供者信任,以 AD FS 表示的資源組織或帳戶組織夥伴。

更新無法取用同盟元數據的同盟合作夥伴

如果您的同盟夥伴無法取用您的同盟元數據,您必須手動傳送新令牌簽署/令牌解密憑證的公鑰。 如果您想要包含整個鏈結,請將新的憑證公鑰 (.cer 檔案或 .p7b) 傳送至您的所有資源組織或帳戶組織合作夥伴(由信賴憑證者信任和宣告提供者信任在 AD FS 中代表)。 讓合作夥伴在其端實作變更,以信任新的憑證。

透過PowerShell撤銷重新整理令牌

現在您想要撤銷可能有重新整理令牌的使用者,並強制他們再次登入並取得新的令牌。 這會將使用者註銷其手機、目前的 Webmail 會話,以及使用令牌和重新整理令牌的其他位置。 如需詳細資訊,請參閱 Revoke-AzureADUserAllRefreshToken。 另請參閱 撤銷 Microsoft Entra 識別碼中的使用者存取權。

注意

自 2024 年 3 月 30 日起,Azure AD 和 MSOnline PowerShell 模組已被淘汰。 若要深入了解,請閱讀淘汰更新。 在此日期之後,對這些模組的支援僅限於對 Microsoft Graph PowerShell SDK 的移轉協助和安全性修正。 淘汰的模組將繼續運作至 2025 年 3 月 30 日。

我們建議移轉至 Microsoft Graph PowerShell 以與 Microsoft Entra ID (以前稱為 Azure AD) 互動。 如需了解常見的移轉問題,請參閱移轉常見問題注意:MSOnline 1.0.x 版可能會在 2024 年 6 月 30 日之後發生中斷。

下一步