更新 Active Directory 同盟服務 (AD FS) 伺服器陣列的 TLS/SSL 憑證
概觀
本文說明如何使用 Microsoft Entra 連線來更新 Active Directory 同盟服務 (AD FS) 伺服器陣列的 TLS/SSL 憑證。 您可以使用 Microsoft Entra 連線 工具來輕鬆更新 AD FS 伺服器陣列的 TLS/SSL 憑證,即使選取的使用者登入方法不是 AD FS。
您可以透過三個簡單的步驟,針對所有同盟和 Web 應用程式 Proxy (WAP) 伺服器,針對 AD FS 伺服器陣列執行更新 TLS/SSL 憑證的完整作業:
注意
若要深入瞭解 AD FS 所使用的憑證,請參閱 瞭解 AD FS 所使用的憑證。
必要條件
- AD FS 伺服器陣列 :請確定您的 AD FS 伺服器陣列是以 Windows Server 2012 R2 為基礎或更新版本。
- Microsoft Entra 連線 :確定 Microsoft Entra 連線版本為 1.1.553.0 或更高版本。 您將使用 工作更新 AD FS SSL 憑證 。
步驟 1:提供 AD FS 伺服器陣列資訊
Microsoft Entra 連線嘗試透過下列方式自動取得 AD FS 伺服器陣列的相關資訊:
- 從 AD FS 查詢伺服器陣列資訊(Windows Server 2016 或更新版本)。
- 參考先前執行中的資訊,這些資訊會以 Microsoft Entra 連線儲存在本機。
您可以藉由新增或移除伺服器來修改顯示的伺服器清單,以反映 AD FS 伺服器陣列的目前組態。 一旦提供伺服器資訊,Microsoft Entra 連線會顯示連線能力和目前的 TLS/SSL 憑證狀態。
如果清單包含不再屬於 AD FS 伺服器陣列的伺服器,請按一下 [移除 ] 以從 AD FS 伺服器陣列中的伺服器清單中刪除伺服器。
注意
從 Microsoft Entra 連線 AD FS 伺服器陣列的伺服器清單中移除伺服器是本機作業,並更新 Microsoft Entra 連線在本機維護之 AD FS 伺服器陣列的資訊。 Microsoft Entra 連線不會修改 AD FS 上的設定,以反映變更。
步驟 2:提供新的 TLS/SSL 憑證
確認 AD FS 伺服器陣列伺服器的相關資訊之後,Microsoft Entra 連線會要求新的 TLS/SSL 憑證。 提供受密碼保護的 PFX 憑證以繼續安裝。
提供憑證之後,Microsoft Entra 連線會經歷一系列必要條件。 確認憑證以確保 AD FS 伺服器陣列的憑證正確:
- 憑證的主體名稱/替代主體名稱與同盟服務名稱相同,或為萬用字元憑證。
- 憑證的有效期限超過 30 天。
- 憑證信任鏈結有效。
- 憑證受到密碼保護。
步驟 3:選取要更新的伺服器
在下一個步驟中,選取需要更新 TLS/SSL 憑證的伺服器。 無法為更新選取離線的伺服器。
完成設定之後,Microsoft Entra 連線會顯示訊息,指出更新的狀態,並提供驗證 AD FS 登入的選項。
常見問題集
新 AD FS TLS/SSL 憑證的憑證主體名稱應該是什麼?
Microsoft Entra 連線檢查憑證的主體名稱/替代主體名稱是否包含同盟服務名稱。 例如,如果您的同盟服務名稱是 fs.contoso.com,則必須 fs.contoso.com 主體名稱/替代主體名稱。 也接受萬用字元憑證。
為什麼我在 WAP 伺服器頁面上再次要求認證?
如果您提供用來連線到 AD FS 伺服器的認證沒有管理 WAP 伺服器的許可權,則 Microsoft Entra 連線會要求在 WAP 伺服器上具有系統管理許可權的認證。
伺服器會顯示為離線。 我該怎麼做?
如果伺服器離線,Microsoft Entra 連線無法執行任何作業。 如果伺服器是 AD FS 伺服器陣列的一部分,請檢查伺服器的連線。 解決問題之後,請按重新整理圖示以更新精靈中的狀態。 如果伺服器先前是伺服器陣列的一部分,但現在已不存在,請按一下 [移除 ] 將其從 Microsoft Entra 連線維護的伺服器清單中刪除。 從 Microsoft Entra 連線清單中移除伺服器並不會改變 AD FS 組態本身。 如果您在 Windows Server 2016 或更新版本中使用 AD FS,伺服器會保留在組態設定中,下次執行工作時將會再次顯示。
我可以使用新的 TLS/SSL 憑證來補救伺服器陣列伺服器的子集嗎?
是。 您一律可以再次執行更新 SSL 憑證 工作 ,以更新其餘的伺服器。 在 [ 選取 SSL 憑證更新 的伺服器] 頁面上,您可以排序 SSL 到期日 上的 伺服器清單,以輕鬆存取尚未更新的伺服器。
我在上一次執行中移除了伺服器,但它仍然顯示為離線,並列在 [AD FS 伺服器] 頁面上。 為什麼即使移除離線服務器,仍然在那裡?
從 Microsoft Entra 清單中移除伺服器連線不會在 AD FS 組態中移除伺服器。 Microsoft Entra 連線參考 AD FS (Windows Server 2016 或更高版本)以取得伺服器陣列的任何資訊。 如果伺服器仍存在於 AD FS 組態中,則會列在清單中。