Получение и настройка сертификатов TS и TD для AD FS

В этой статье описываются задачи и процедуры, которые гарантируют, что сертификаты подписи маркеров AD FS и расшифровки маркеров актуальны.

Сертификаты подписывания маркеров — это стандартные сертификаты X509, используемые для безопасной подписи всех маркеров, возникающих на сервере федерации. Сертификаты расшифровки маркеров — это стандартные сертификаты X509, используемые для расшифровки всех входящих маркеров. Они также публикуются в метаданных федерации.

Дополнительные сведения см. в разделе Требования к сертификатам.

Определите, будут ли службы федерации Active Directory (AD FS) автоматически обновлять сертификаты.

По умолчанию AD FS настраивается для автоматического создания сертификатов подписи маркеров и расшифровки маркеров. Создание происходит как в начальной конфигурации, так и при приближении сертификатов к дате окончания срока действия.

Выполните следующую команду Windows PowerShell: Get-AdfsProperties.

Снимок экрана: окно PowerShell с выделением значений AutoCertificateRollover и CertificateGenerationThreshold.

Свойство AutoCertificateRollover описывает, настроена ли служба AD FS для автоматического обновления подписи маркеров и расшифровки сертификатов маркеров.

Если задано значение TrueAutoCertificateRollover, сертификаты AD FS обновляются и настраиваются в AD FS автоматически. После настройки нового сертификата необходимо убедиться, что каждый партнер федерации обновляется с помощью этого нового сертификата, чтобы избежать сбоя. Ваш партнер федерации представлен в ферме AD FS с помощью доверия проверяющей стороны или доверия поставщика утверждений.

Если AD FS не настроен для автоматического продления подписи маркеров и расшифровки сертификатов маркера (например, если для autoCertificateRollover задано Falseзначение ), AD FS не создает или не использует новые подписи маркеров или сертификаты расшифровки маркеров. Эти задачи необходимо выполнять вручную.

Если AD FS настроено для автоматического продления подписи маркеров и расшифровки сертификатов маркеров (для autoCertificateRollover задано Trueзначение ), вы можете определить, когда они обновляются:

  • CertificateGenerationThreshold описывает, сколько дней до даты создания нового сертификата.

  • CertificatePromotionThreshold определяет, сколько дней после создания нового сертификата будет повышено до первичного сертификата. AD FS использует CertificatePromotionThreshold для подписывания маркеров, которые он выдает и расшифровывает маркеры, которые находятся у поставщиков удостоверений.

Снимок экрана: окно PowerShell, выделение значений CertificateGenerationThreshold и CertificatePromotionThreshhold.

Определение срока действия текущих сертификатов

Для идентификации основных сертификатов подписи маркеров и расшифровки маркеров и определения истечения срока действия текущих сертификатов можно использовать следующую процедуру.

Вы можете выполнить следующую команду Windows PowerShell: Get-AdfsCertificate –CertificateType token-signing (или Get-AdfsCertificate –CertificateType token-decrypting). Вы также можете проверить текущие сертификаты в MMC: Service-Certificates>.

Снимок экрана: окно PowerShell, в котором выделены не после даты и основные свойства.

AD FS использует сертификат, для которого IsPrimary задано Trueзначение.

Дата, показанная для параметра Not After , — это дата, с помощью которой необходимо настроить новый первичный маркер подписи или расшифровки сертификата.

Чтобы обеспечить непрерывность службы, все партнеры федерации должны использовать новые сертификаты подписи маркеров и расшифровки маркеров до этого срока действия. Ваш партнер федерации представлен в ферме AD FS с помощью доверия проверяющей стороны или доверия поставщика утверждений. Этот процесс следует запланировать по крайней мере 60 дней заранее.

Создание самозаверяющего сертификата вручную до окончания льготного периода

Вы можете создать самозаверяющий сертификат вручную до окончания льготного периода, выполнив следующие действия.

  1. Убедитесь, что вы вошли на основной сервер AD FS.
  2. Откройте Windows PowerShell и выполните следующую команду: Add-PSSnapin "microsoft.adfs.powershell"
  3. Вы можете проверить текущие сертификаты подписи в AD FS. Для этого выполните команду Get-ADFSCertificate –CertificateType token-signing. Просмотрите выходные данные команды, чтобы просмотреть даты не после перечисленных сертификатов.
  4. Чтобы создать новый сертификат, выполните следующую команду, чтобы обновить и обновить сертификаты на сервере AD FS: Update-ADFSCertificate –CertificateType token-signing
  5. Проверьте обновление, выполнив следующую команду: Get-ADFSCertificate –CertificateType token-signing
  6. Теперь должны быть перечислены два сертификата. Один должен иметь дату не после даты примерно один год в будущем. Другой должен иметь значение IsPrimary False.

Внимание

Чтобы избежать сбоя службы, обновите сведения о сертификате идентификатора Microsoft Entra с допустимым сертификатом подписи маркеров.

Если вы не используете самозаверяющий сертификат

Если вы не используете сертификат по умолчанию, автоматически создается самозаверяющий подписывание маркеров и сертификаты расшифровки маркеров, необходимо обновить и настроить эти сертификаты вручную.

Сначала необходимо получить новый сертификат из центра сертификации и импортировать его в локальное хранилище личных сертификатов компьютера на каждом сервере федерации. Инструкции см. в разделе "Импорт сертификата".

Затем необходимо настроить этот сертификат в качестве дополнительного сертификата подписи маркера AD FS или расшифровки. Вы настраиваете его в качестве дополнительного сертификата, чтобы позволить партнерам федерации достаточно времени использовать этот новый сертификат, прежде чем повысить его до первичного сертификата.

Настройка нового сертификата в качестве дополнительного сертификата

  1. Откройте PowerShell и запустите .Set-ADFSProperties -AutoCertificateRollover $false
  2. После импорта сертификата. Откройте консоль Управление AD FS.
  3. Разверните службу и выберите сертификаты.
  4. В области "Действия" выберите "Добавить сертификат подписи маркеров". Снимок экрана: диалоговое окно AD FS, в котором выделен параметр
  5. Выберите новый сертификат из списка отображаемых сертификатов и нажмите кнопку "ОК".
  6. Откройте PowerShell и запустите .Set-ADFSProperties -AutoCertificateRollover $true

Предупреждение

Убедитесь, что новый сертификат связан с ним закрытым ключом и что учетная запись службы AD FS предоставляет разрешения на чтение закрытого ключа. Проверьте это на каждом сервере федерации. Для этого в оснастке "Сертификаты" щелкните правой кнопкой мыши новый сертификат, выберите "Все задачи" и выберите " Управление закрытыми ключами".

Партнеры федерации используют новые сертификаты, извлекая метаданные федерации или получая открытый ключ нового сертификата. После того как вы разрешили достаточно времени, чтобы партнеры федерации использовали новый сертификат, необходимо повысить уровень вторичного сертификата до первичного сертификата.

Повышение уровня нового сертификата от вторичного до первичного

  1. Откройте консоль Управление AD FS.

  2. Разверните службу и выберите сертификаты.

  3. Выберите сертификат подписи дополнительного маркера.

  4. В области "Действия" выберите "Задать в качестве основного". В запросе подтверждения нажмите кнопку Да.

    Снимок экрана: диалоговое окно AD FS с выделением параметра Set в качестве основного параметра.

Обновление партнеров федерации

Партнеры федерации должны обновляться по-разному в зависимости от того, могут ли они использовать метаданные федерации.

Партнеры, которые могут использовать метаданные федерации

При продлении и настройке нового сертификата подписи маркера или расшифровки маркеров необходимо убедиться, что все партнеры федерации выбрали новые сертификаты. Партнеры федерации являются партнерами по ресурсам или партнерам по учетной записи, представленным в AD FS, доверием проверяющей стороны и доверием поставщика утверждений.

Партнеры, которые не могут использовать метаданные федерации

Если ваши партнеры федерации не могут использовать метаданные федерации, необходимо вручную отправить им открытый ключ нового сертификата подписи маркера или расшифровки маркеров. Отправьте новый открытый ключ сертификата (.cer файл или P7b, если вы хотите включить всю цепочку) всем партнерам организации ресурсов или организации учетной записи. Ваша организация ресурсов или партнеры организации учетных записей представлены в AD FS, проверяя доверие проверяющей стороны и доверие поставщика утверждений. Партнеры должны реализовать изменения на стороне, чтобы доверять новым сертификатам.

Повышение до первичного, если AutoCertificateRollover имеет значение False

Если для параметра AutoCertificateRollover задано Falseзначение, AD FS не создает или не использует новые сертификаты подписи маркера или расшифровки маркеров. Эти задачи необходимо выполнять вручную. После предоставления достаточного периода времени для всех партнеров федерации, чтобы использовать новый вторичный сертификат, доведите этот вторичный сертификат до первичного. В оснастке MMC выберите сертификат подписи вторичного токена и в области действий выберите "Задать как основной".

Обновление идентификатора Microsoft Entra

AD FS предоставляет доступ к облачным службам Майкрософт, таким как Office 365, путем проверки подлинности пользователей с помощью существующих учетных данных AD DS. Дополнительные сведения см. в разделе "Продление сертификатов федерации" для Office 365 и идентификатора Microsoft Entra.