Rotasi darurat sertifikat Layanan Federasi Direktori Aktif

Jika Anda perlu segera memutar sertifikat Layanan Federasi Direktori Aktif (AD FS), Anda dapat mengikuti langkah-langkah dalam artikel ini.

Penting

Memutar sertifikat di lingkungan Layanan Federasi Direktori Aktif segera mencabut sertifikat lama, dan waktu yang biasanya diperlukan mitra federasi Anda untuk menggunakan sertifikat baru Anda dilewati. Tindakan ini mungkin juga mengakibatkan pemadaman layanan sebagai pembaruan kepercayaan untuk menggunakan sertifikat baru. Pemadaman harus diselesaikan setelah semua mitra federasi memiliki sertifikat baru.

Catatan

Kami sangat menyarankan Anda menggunakan Modul Keamanan Perangkat Keras (HSM) untuk melindungi dan mengamankan sertifikat. Untuk informasi selengkapnya, lihat bagian Modul Keamanan Perangkat Keras di praktik terbaik untuk mengamankan Layanan Federasi Direktori Aktif.

Menentukan thumbprint Sertifikat Penandatanganan Token Anda

Untuk mencabut Sertifikat Penandatanganan Token lama yang saat ini digunakan AD FS, Anda perlu menentukan thumbprint sertifikat penandatanganan token. Lakukan:

1. Koneksi ke Layanan Online Microsoft dengan menjalankan di PowerShell Connect-MsolService.

2. Dokumentasikan thumbprint Sertifikat Penandatanganan Token lokal dan cloud Anda dan tanggal kedaluwarsa dengan menjalankan Get-MsolFederationProperty -DomainName <domain>.

3. Salin thumbprint. Anda akan menggunakannya nanti untuk menghapus sertifikat yang ada.

Anda juga bisa mendapatkan thumbprint dengan menggunakan Manajemen Layanan Federasi Direktori Aktif. Buka Sertifikat Layanan>, klik kanan sertifikat, pilih Tampilkan sertifikat, lalu pilih Detail.

Menentukan apakah AD FS memperbarui sertifikat secara otomatis

Secara default, Layanan Federasi Direktori Aktif dikonfigurasi untuk menghasilkan sertifikat penandatanganan token dan dekripsi token secara otomatis. Ini melakukannya baik selama konfigurasi awal dan ketika sertifikat mendekati tanggal kedaluwarsanya.

Anda dapat menjalankan perintah PowerShell berikut: Get-AdfsProperties | FL AutoCert*, Certificate*.

Properti menjelaskan AutoCertificateRollover apakah Layanan Federasi Direktori Aktif dikonfigurasi untuk memperbarui penandatanganan token dan mendekripsi sertifikat secara otomatis. Lakukan salah satu hal berikut:

• Jika AutoCertificateRollover diatur ke TRUE, buat sertifikat baru yang ditandatangani sendiri.
• Jika AutoCertificateRollover diatur ke FALSE, buat sertifikat baru secara manual.

Jika AutoCertificateRollover diatur ke TRUE, buat sertifikat baru yang ditandatangani sendiri

Di bagian ini, Anda membuat dua sertifikat penandatanganan token. Yang pertama menggunakan -urgent bendera, yang segera menggantikan sertifikat utama saat ini. Yang kedua digunakan untuk sertifikat sekunder.

Penting

Anda membuat dua sertifikat karena ID Microsoft Entra menyimpan informasi tentang sertifikat sebelumnya. Dengan membuat yang kedua, Anda memaksa MICROSOFT Entra ID untuk merilis informasi tentang sertifikat lama dan menggantinya dengan informasi tentang yang kedua.

Jika Anda tidak membuat sertifikat kedua dan memperbarui ID Microsoft Entra dengannya, mungkin sertifikat penandatanganan token lama dapat mengautentikasi pengguna.

Untuk menghasilkan sertifikat penandatanganan token baru, lakukan hal berikut:

1. Pastikan Anda masuk ke server LAYANAN Federasi Direktori Aktif utama.

2. Buka Windows PowerShell sebagai administrator.

3. Pastikan diatur AutoCertificateRollover ke True dengan menjalankan di PowerShell:

   Get-AdfsProperties | FL AutoCert*, Certificate*

4. Untuk menghasilkan sertifikat penandatanganan token baru, jalankan:

   Update-ADFSCertificate -CertificateType Token-Signing -Urgent

5. Verifikasi pembaruan dengan menjalankan:

   Get-ADFSCertificate -CertificateType Token-Signing

6. Sekarang hasilkan sertifikat penandatanganan token kedua dengan menjalankan:

   Update-ADFSCertificate -CertificateType Token-Signing

7. Anda dapat memverifikasi pembaruan dengan menjalankan perintah berikut lagi:

   Get-ADFSCertificate -CertificateType Token-Signing

Jika AutoCertificateRollover diatur ke FALSE, buat sertifikat baru secara manual

Jika Anda tidak menggunakan default yang dibuat secara otomatis, penandatanganan token yang ditandatangani sendiri dan sertifikat dekripsi token, Anda harus memperbarui dan mengonfigurasi sertifikat ini secara manual. Melakukannya melibatkan pembuatan dua sertifikat penandatanganan token baru dan mengimpornya. Kemudian, Anda mempromosikan satu ke primer, mencabut sertifikat lama, dan mengonfigurasi sertifikat kedua sebagai sertifikat sekunder.

Pertama, Anda harus mendapatkan dua sertifikat baru dari otoritas sertifikat Anda dan mengimpornya ke penyimpanan sertifikat pribadi komputer lokal di setiap server federasi. Untuk petunjuknya, lihat Mengimpor Sertifikat.

Penting

Anda membuat dua sertifikat karena ID Microsoft Entra menyimpan informasi tentang sertifikat sebelumnya. Dengan membuat yang kedua, Anda memaksa MICROSOFT Entra ID untuk merilis informasi tentang sertifikat lama dan menggantinya dengan informasi tentang yang kedua.

Jika Anda tidak membuat sertifikat kedua dan memperbarui ID Microsoft Entra dengannya, mungkin sertifikat penandatanganan token lama dapat mengautentikasi pengguna.

Mengonfigurasi sertifikat baru sebagai sertifikat sekunder

Selanjutnya, konfigurasikan satu sertifikat sebagai penandatanganan token AD FS sekunder atau sertifikat dekripsi lalu promosikan ke primer.

1. Setelah Anda mengimpor sertifikat, buka konsol Manajemen Layanan Federasi Direktori Aktif.

2. Perluas Layanan, lalu pilih Sertifikat.

3. Pada panel Tindakan , pilih Tambahkan Sertifikat Penandatanganan Token.

4. Pilih sertifikat baru dari daftar sertifikat yang ditampilkan, lalu pilih OK.

Mempromosikan sertifikat baru dari sekunder ke primer

Sekarang setelah Anda mengimpor sertifikat baru dan mengonfigurasinya di Layanan Federasi Direktori Aktif, Anda perlu mengaturnya sebagai sertifikat utama.

1. Buka konsol AD FS Management.

2. Perluas Layanan, lalu pilih Sertifikat.

3. Pilih sertifikat penandatanganan token sekunder.

4. Pada panel Tindakan, pilih Atur Sebagai Utama. Pada perintah, pilih Ya.

5. Setelah mempromosikan sertifikat baru sebagai sertifikat utama, Anda harus menghapus sertifikat lama karena masih dapat digunakan. Untuk informasi selengkapnya, lihat bagian Menghapus sertifikat lama Anda.

Untuk mengonfigurasi sertifikat sekunder sebagai sertifikat sekunder

Sekarang setelah Anda menambahkan sertifikat pertama, menjadikannya utama, dan menghapus sertifikat lama, Anda dapat mengimpor sertifikat kedua. Konfigurasikan sertifikat sebagai sertifikat penandatanganan token AD FS sekunder dengan melakukan hal berikut:

1. Setelah Anda mengimpor sertifikat, buka konsol Manajemen Layanan Federasi Direktori Aktif.

2. Perluas Layanan, lalu pilih Sertifikat.

3. Pada panel Tindakan , pilih Tambahkan Sertifikat Penandatanganan Token.

4. Pilih sertifikat baru dari daftar sertifikat yang ditampilkan, lalu pilih OK.

Memperbarui ID Microsoft Entra dengan sertifikat penandatanganan token baru

1. Buka modul Azure AD PowerShell. Atau, buka Windows PowerShell, lalu jalankan Import-Module msonline perintah .

2. Koneksi ke ID Microsoft Entra dengan menjalankan perintah berikut:

   Connect-MsolService

3. Masukkan kredensial Administrator Identitas Hibrid Anda.

   Catatan

   Jika Anda menjalankan perintah ini di komputer yang bukan server federasi utama, masukkan perintah berikut terlebih dahulu:

   Set-MsolADFSContext -Computer <servername>

   Ganti <nama> server dengan nama server Layanan Federasi Direktori Aktif, lalu, pada perintah, masukkan info masuk administrator untuk server LAYANAN Federasi Direktori Aktif.

4. Secara opsional, verifikasi apakah pembaruan diperlukan dengan memeriksa informasi sertifikat saat ini di ID Microsoft Entra. Untuk melakukannya, jalankan perintah berikut: Get-MsolFederationProperty. Masukkan nama domain Federasi ketika diminta.

5. Untuk memperbarui informasi sertifikat di ID Microsoft Entra, jalankan perintah berikut: Update-MsolFederatedDomain lalu masukkan nama domain saat diminta.

   Catatan

   Jika Anda menerima kesalahan saat menjalankan perintah ini, jalankan Update-MsolFederatedDomain -SupportMultipleDomain lalu, pada perintah, masukkan nama domain.

Mengganti sertifikat SSL

Jika Anda perlu mengganti sertifikat penandatanganan token karena kompromi, Anda juga harus mencabut dan mengganti sertifikat Secure Sockets Layer (SSL) untuk Layanan Federasi Direktori Aktif dan server Web Proksi Aplikasi (WAP) Anda.

Mencabut sertifikat SSL Anda harus dilakukan pada otoritas sertifikat (CA) yang menerbitkan sertifikat. Sertifikat ini sering dikeluarkan oleh penyedia pihak ketiga, seperti GoDaddy. Misalnya, lihat Mencabut sertifikat | Sertifikat SSL - GoDaddy Bantu KAMI. Untuk informasi selengkapnya, lihat Cara kerja pencabutan sertifikat.

Setelah sertifikat SSL lama dicabut dan sertifikat baru diterbitkan, Anda dapat mengganti sertifikat SSL. Untuk informasi selengkapnya, lihat Mengganti sertifikat SSL untuk Layanan Federasi Direktori Aktif.

Menghapus sertifikat lama Anda

Setelah mengganti sertifikat lama, Anda harus menghapus sertifikat lama karena masih dapat digunakan. Untuk melakukannya:

1. Pastikan Anda masuk ke server LAYANAN Federasi Direktori Aktif utama.

2. Buka Windows PowerShell sebagai administrator.

3. Untuk menghapus sertifikat penandatanganan token lama, jalankan:

   Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Memperbarui mitra federasi yang dapat menggunakan metadata federasi

Jika Anda telah memperbarui dan mengonfigurasi sertifikat penandatanganan token atau dekripsi token baru, Anda harus memastikan bahwa semua mitra federasi Anda telah mengambil sertifikat baru. Daftar ini mencakup organisasi sumber daya atau mitra organisasi akun yang diwakili dalam Layanan Federasi Direktori Aktif dengan mengandalkan kepercayaan pihak dan kepercayaan penyedia klaim.

Memperbarui mitra federasi yang tidak dapat menggunakan metadata federasi

Jika mitra federasi Anda tidak dapat menggunakan metadata federasi Anda, Anda harus mengirimi mereka kunci publik sertifikat penandatanganan token/ dekripsi token baru Anda secara manual. Kirim kunci publik sertifikat baru Anda (.cer file atau .p7b jika Anda ingin menyertakan seluruh rantai) ke semua organisasi sumber daya atau mitra organisasi akun Anda (diwakili dalam Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak dan kepercayaan penyedia klaim). Apakah mitra sudah menerapkan perubahan di pihak mereka untuk mempercayai sertifikat baru.

Mencabut token refresh melalui PowerShell

Sekarang Anda ingin mencabut token refresh untuk pengguna yang mungkin memilikinya dan memaksa mereka untuk masuk lagi dan mendapatkan token baru. Ini mencatat pengguna dari ponsel mereka, sesi webmail saat ini, dan tempat lain yang menggunakan token dan token refresh. Untuk informasi selengkapnya, lihat Revoke-AzureADUserAllRefreshToken. Lihat juga Mencabut akses pengguna di ID Microsoft Entra.

Catatan

Modul Azure ACTIVE Directory dan MSOnline PowerShell tidak digunakan lagi per 30 Maret 2024. Untuk mempelajari lebih lanjut, baca pembaruan penghentian. Setelah tanggal ini, dukungan untuk modul ini terbatas pada bantuan migrasi ke Microsoft Graph PowerShell SDK dan perbaikan keamanan. Modul yang tidak digunakan lagi akan terus berfungsi hingga Maret, 30 2025.

Sebaiknya migrasi ke Microsoft Graph PowerShell untuk berinteraksi dengan ID Microsoft Entra (sebelumnya Microsoft Azure AD). Untuk pertanyaan umum tentang migrasi, lihat Tanya Jawab Umum Migrasi. Catatan: MSOnline versi 1.0.x mungkin mengalami gangguan setelah 30 Juni 2024.

Langkah berikutnya

• Mengelola sertifikat SSL di Layanan Federasi Direktori Aktif dan WAP di Windows Server 2016
• Mendapatkan dan mengonfigurasi sertifikat penandatanganan token dan dekripsi token untuk Layanan Federasi Direktori Aktif
• Memperbarui sertifikat federasi untuk Microsoft 365 dan ID Microsoft Entra