Memperbarui sertifikat federasi untuk Microsoft 365 dan Azure Active Directory

Gambaran Umum

Untuk keberhasilan federasi antara Azure Active Directory (Azure AD) dan Layanan Federasi Direktori Aktif (AD FS), sertifikat yang digunakan oleh AD FS untuk menandatangani token keamanan ke Azure AD harus sesuai dengan yang dikonfigurasi di Azure AD. Ketidakcocokan dapat menyebabkan rusaknya kepercayaan. Azure AD memastikan bahwa informasi ini tetap sinkron saat Anda menyebarkan AD FS dan Proksi Aplikasi Web (untuk akses ekstranet).

Catatan

Artikel ini menyediakan informasi tentang mengelola sertifikat federasi Anda. Untuk informasi pada rotasi darurat, lihat Rotasi Darurat sertifikat AD FS

Artikel ini memberi Anda informasi tambahan untuk mengelola sertifikat penandatanganan token Anda dan membuatnya tetap sinkron dengan Azure AD, dalam kasus berikut:

  • Anda tidak menyebarkan Proksi Aplikasi Web, dan oleh karena itu metadata federasi tidak tersedia di ekstranet.
  • Anda tidak menggunakan konfigurasi default AD FS untuk sertifikat penandatanganan token.
  • Anda menggunakan penyedia identitas pihak ketiga.

Penting

Microsoft sangat menyarankan penggunaan Modul Keamanan Perangkat Keras (HSM) untuk melindungi dan mengamankan sertifikat. Untuk informasi selengkapnya, lihat Modul Keamanan Perangkat Keras, di bawah praktik terbaik untuk mengamankan AD FS.

Konfigurasi default AD FS untuk sertifikat penandatanganan token

Sertifikat penandatanganan token dan dekripsi token biasanya sertifikat yang ditandatangani, dan baik selama satu tahun. Secara default, AD FS menyertakan proses perpanjangan otomatis yang disebut AutoCertificateRollover. Jika Anda menggunakan AD FS 2.0 atau yang lebih baru, Microsoft 365 dan Azure AD akan memperbarui sertifikat secara otomatis sebelum sertifikat kedaluwarsa.

Pemberitahuan perpanjangan dari pusat admin Microsoft 365 atau email

Catatan

Jika Anda menerima email atau pemberitahuan portal yang meminta Anda memperpanjang sertifikat untuk Office, lihat Mengelola perubahan pada sertifikat penandatanganan token untuk memastikan apakah Anda perlu mengambil tindakan. Microsoft mengetahui kemungkinan masalah yang dapat menyebabkan pemberitahuan untuk perpanjangan sertifikat yang dikirim, bahkan ketika tidak ada tindakan yang diperlukan.

Azure AD mencoba memantau metadata federasi, dan memperbarui sertifikat penandatanganan token seperti yang ditunjukkan oleh metadata ini. 30 hari sebelum berakhirnya sertifikat penandatanganan token, Azure AD memeriksa apakah sertifikat baru tersedia dengan polling metadata federasi.

  • Jika berhasil melakukan polling metadata federasi dan mengambil sertifikat baru, tidak ada pemberitahuan email atau peringatan di pusat admin Microsoft 365 yang dikeluarkan untuk pengguna.
  • Jika tidak dapat mengambil sertifikat penandatanganan token baru, baik karena metadata federasi tidak dapat dijangkau atau rollover sertifikat otomatis tidak diaktifkan, Azure AD mengeluarkan pemberitahuan email dan peringatan di pusat admin Microsoft 365.

Pemberitahuan portal Office 365

Penting

Jika Anda menggunakan AD FS, untuk memastikan kelangsungan bisnis, pastikan bahwa server Anda memiliki pembaruan berikut sehingga kegagalan autentikasi untuk masalah yang diketahui tidak terjadi. Ini mengurangi masalah server proksi AD FS yang diketahui untuk periode perpanjangan dan perpanjangan mendatang ini:

Server 2012 R2 - Rollup Windows Server Mei 2014

Server 2008 R2 dan 2012 - Autentikasi melalui proksi gagal di Windows Server 2012 atau Windows 2008 R2 SP1

Pastikan apakah sertifikat perlu diperbarui

Langkah 1: Periksa status AutoCertificateRollover

Pada server AD FS, buka PowerShell. Periksa apakah nilai AutoCertificateRollover diatur ke True.

Get-Adfsproperties

AutoCertificateRollover

Catatan

Jika Anda menggunakan AD FS 2.0, pertama-tama jalankan Add-Pssnapin Microsoft.Adfs.Powershell.

Langkah 2: Konfirmasi bahwa AD FS dan Azure AD disinkronkan

Di server AD FS Anda, buka perintah MSOnline PowerShell, dan sambungkan ke Azure AD.

Catatan

MSOL-Cmdlets adalah bagian dari modul MSOnline PowerShell. Anda dapat mengunduh Modul MSOnline PowerShell langsung dari Galeri PowerShell.

Install-Module MSOnline

Sambungkan ke Azure AD menggunakan MSOnline PowerShell-Module.

Import-Module MSOnline
Connect-MsolService

Periksa sertifikat yang dikonfigurasi di properti kepercayaan AD FS dan Azure AD untuk domain yang ditentukan.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Jika cap jempol di kedua output cocok, sertifikat Anda disinkronkan dengan Azure AD.

Langkah 3: Periksa apakah sertifikat Anda akan kedaluwarsa

Dalam output salah satu dari Get-MsolFederationProperty atau Get-AdfsCertificate, periksa tanggal di bawah "Tidak Setelah." Jika tanggal kurang dari 30 hari lagi, Anda harus mengambil tindakan.

AutoCertificateRollover Sertifikat yang disinkronkan dengan Azure AD Metadata federasi dapat diakses secara publik Validitas Tindakan
Ya Ya Ya - Tidak ada tindakan yang diperlukan. Lihat Memperpanjang sertifikat penandatanganan token secara otomatis.
Ya Tidak - Kurang dari 15 hari Segera perpanjang. Lihat Memperpanjang sertifikat penandatanganan token secara manual.
Tidak - - Kurang dari 30 hari Segera perpanjang. Lihat Memperpanjang sertifikat penandatanganan token secara manual.

[-] Tidak masalah

Anda tidak perlu melakukan langkah manual jika kedua hal berikut ini benar:

  • Anda telah menyebarkan Proksi Aplikasi Web, yang dapat mengaktifkan akses ke metadata federasi dari ekstranet.
  • Anda menggunakan konfigurasi default AD FS (AutoCertificateRollover diaktifkan).

Periksa hal berikut untuk mengonfirmasi bahwa sertifikat dapat diperbarui secara otomatis.

1. Properti AD FS AutoCertificateRollover harus diatur ke True. Ini menunjukkan bahwa AD FS akan secara otomatis menghasilkan sertifikat penandatanganan token baru dan dekripsi token, sebelum yang lama kedaluwarsa.

2. Metadata federasi AD FS dapat diakses secara publik. Periksa apakah metadata federasi Anda dapat diakses secara publik dengan menavigasi ke URL berikut dari komputer di internet publik (di luar jaringan perusahaan):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

dengan (your_FS_name) diganti dengan nama host layanan federasi yang digunakan organisasi Anda, seperti fs.contoso.com. Jika Anda berhasil memverifikasi kedua pengaturan ini, Anda tidak perlu melakukan hal lain.

Contoh: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Memperpanjang sertifikat penandatanganan token secara manual

Anda dapat memilih untuk memperpanjang sertifikat penandatanganan token secara manual. Misalnya, skenario berikut mungkin berfungsi lebih baik untuk perpanjangan manual:

  • Sertifikat penandatanganan token bukan sertifikat yang ditandatangani sendiri. Alasan paling umum untuk ini adalah organisasi Anda mengelola sertifikat AD FS yang terdaftar dari otoritas sertifikat organisasi.
  • Keamanan jaringan tidak memperbolehkan metadata federasi tersedia untuk umum.

Dalam skenario ini, setiap kali memperbarui sertifikat penandatanganan token, Anda juga harus memperbarui domain Microsoft 365 dengan menggunakan perintah PowerShell, Update-MsolFederatedDomain.

Langkah 1: Pastikan AD FS memiliki sertifikat penandatanganan token baru

Konfigurasi non-default

Jika Anda menggunakan konfigurasi AD FS non-default (dengan AutoCertificateRollover diatur ke False), Anda mungkin menggunakan sertifikat kustom (bukan ditandatangani sendiri). Untuk informasi selengkapnya tentang cara memperpanjang sertifikat penandatanganan token AD FS, lihat Persyaratan sertifikat untuk server federasi.

Metadata federasi tidak tersedia untuk umum

Di sisi lain, jika AutoCertificateRollover diatur ke True, tetapi metadata federasi Anda tidak dapat diakses secara publik, pertama-tama pastikan bahwa sertifikat penandatanganan token baru telah dibuat oleh AD FS. Konfirmasikan bahwa Anda memiliki sertifikat penandatanganan token baru dengan melakukan langkah-langkah berikut:

  1. Pastikan Anda masuk ke server AD FS utama.

  2. Periksa sertifikat penandatanganan saat ini di AD FS dengan membuka jendela perintah PowerShell, dan jalankan perintah berikut ini:

    PS C: >Get-ADFSCertificate –CertificateType penandatanganan token

    Catatan

    Jika Anda menggunakan AD FS 2.0, Anda harus menjalankan Add-Pssnapin Microsoft.Adfs.Powershell terlebih dahulu.

  3. Lihat output perintah pada setiap sertifikat yang tercantum. Jika AD FS telah menghasilkan sertifikat baru, Anda akan melihat dua sertifikat dalam output: satu untuk yang nilai IsPrimary adalah True dan tanggal NotAfter dalam 5 hari, dan satu yang nilai IsPrimary adalah False dan NotAfter sekitar satu tahun di masa depan.

  4. Jika Anda hanya melihat satu sertifikat, dan tanggal NotAfter dalam 5 hari, Anda perlu membuat sertifikat baru.

  5. Untuk menghasilkan sertifikat baru, jalankan perintah berikut ini di prompt perintah PowerShell: PS C:\Update-ADFSCertificate –CertificateType token-signing.

  6. Verifikasi pembaruan dengan menjalankan perintah berikut lagi: PS C:>Get-ADFSCertificate –CertificateType penandatanganan token

Dua sertifikat harus dicantumkan sekarang, salah satunya memiliki tanggal NotAfter sekitar satu tahun di masa depan, dan yang nilai IsPrimary adalah False.

Langkah 2: Perbarui sertifikat penandatanganan token baru untuk kepercayaan Microsoft 365

Perbarui Microsoft 365 dengan sertifikat penandatanganan token baru yang akan digunakan untuk kepercayaan, sebagai berikut.

  1. Buka Microsoft Azure Active Directory untuk Windows PowerShell.
  2. Jalankan $cred=Get-Credential. Saat cmdlet ini meminta kredensial kepada Anda, ketikkan kredensial akun administrator layanan cloud Anda.
  3. Jalankan $cred Connect-MsolService –Credential. Cmdlet ini menghubungkan Anda ke layanan cloud. Membuat konteks yang menghubungkan Anda ke layanan cloud diperlukan sebelum menjalankan cmdlet tambahan yang diinstal oleh alat.
  4. Jika Anda menjalankan perintah ini di komputer yang bukan server federasi utama AD FS, jalankan server utama <server utama AD FS> Set-MSOLAdfscontext -Computer, dengan <server utama AD FS> adalah nama FQDN internal dari server AD FS utama. Cmdlet ini menciptakan konteks yang menghubungkan Anda dengan AD FS.
  5. Jalankan <domain> Update-MSOLFederatedDomain –DomainName. Cmdlet ini memperbarui pengaturan dari AD FS ke dalam layanan cloud dan mengonfigurasi hubungan kepercayaan antara keduanya.

Catatan

Jika Anda perlu mendukung beberapa domain tingkat atas, seperti contoso.com dan fabrikam.com, Anda harus menggunakan tombol SupportMultipleDomain dengan cmdlet apa pun. Untuk informasi selengkapnya, lihat Dukungan untuk Beberapa Domain Tingkat Atas.

Memperbaiki kepercayaan Azure AD dengan menggunakan Azure AD Connect

Jika Mengonfigurasi layanan AD FS dan kepercayaan Azure AD dengan menggunakan Azure AD Connect, Anda bisa menggunakan Azure AD Connect untuk mendeteksi apakah Anda perlu mengambil tindakan untuk sertifikat penandatanganan token Anda. Jika Anda perlu memperpanjang sertifikat, Anda bisa menggunakan Azure AD Connect untuk melakukannya.

Untuk informasi selengkapnya, lihat Memperbaiki kepercayaan.

Langkah-langkah pembaruan sertifikat AD FS dan Azure AD

Sertifikat penandatanganan token adalah sertifikat X509 standar yang digunakan untuk menandatangani semua token yang diterbitkan server federasi dengan aman. Sertifikat dekripsi token adalah sertifikat X509 standar yang digunakan untuk mendekripsi token yang masuk.

Secara default, AD FS dikonfigurasi untuk menghasilkan sertifikat penandatanganan token dan dekripsi token secara otomatis, baik pada waktu konfigurasi awal maupun ketika sertifikat mendekati tanggal kedaluwarsanya.

Azure AD mencoba mengambil sertifikat baru dari metadata layanan federasi Anda 30 hari sebelum berakhirnya sertifikat saat ini. Jika sertifikat baru tidak tersedia pada saat itu, Azure AD akan terus memantau metadata pada interval harian reguler. Segera setelah sertifikat baru tersedia dalam metadata, pengaturan federasi untuk domain diperbarui dengan informasi sertifikat baru. Anda dapat menggunakan Get-MsolDomainFederationSettings untuk memverifikasi apakah Anda melihat sertifikat baru di NextSigningCertificate/SigningCertificate.

Untuk informasi selengkapnya tentang sertifikat Penandatanganan Token di AD FS lihat Mendapatkan dan Mengonfigurasi Penandatanganan Token dan Sertifikat Dekripsi Token untuk AD FS