Memperbarui sertifikat TLS/SSL untuk farm Layanan Federasi Direktori Aktif (AD FS)
Gambaran Umum
Artikel ini menjelaskan cara menggunakan Microsoft Entra Koneksi untuk memperbarui sertifikat TLS/SSL untuk farm Layanan Federasi Direktori Aktif (AD FS). Anda dapat menggunakan alat Microsoft Entra Koneksi untuk memperbarui sertifikat TLS/SSL dengan mudah untuk farm Layanan Federasi Direktori Aktif meskipun metode masuk pengguna yang dipilih bukan Layanan Federasi Direktori Aktif.
Anda dapat melakukan seluruh operasi pembaruan sertifikat TLS/SSL untuk farm Layanan Federasi Direktori Aktif di semua server federasi dan Proksi Aplikasi Web (WAP) dalam tiga langkah sederhana:
Catatan
Untuk mempelajari selengkapnya tentang sertifikat yang digunakan oleh Layanan Federasi Direktori Aktif, lihat Memahami sertifikat yang digunakan oleh Layanan Federasi Direktori Aktif.
Prasyarat
- Farm Layanan Federasi Direktori Aktif: Pastikan bahwa farm Layanan Federasi Direktori Aktif Anda berbasis Windows Server 2012 R2 atau yang lebih baru.
- Microsoft Entra Koneksi: Pastikan versi Microsoft Entra Koneksi adalah 1.1.553.0 atau yang lebih tinggi. Anda akan menggunakan tugas Perbarui sertifikat SSL Layanan Federasi Direktori Aktif.
Langkah 1: Menyediakan informasi farm Layanan Federasi Direktori Aktif
Microsoft Entra Koneksi mencoba mendapatkan informasi tentang farm Layanan Federasi Direktori Aktif secara otomatis dengan:
- Membuat kueri informasi farm dari Layanan Federasi Direktori Aktif (Windows Server 2016 atau yang lebih baru).
- Mereferensikan informasi dari eksekusi sebelumnya, yang disimpan secara lokal dengan Microsoft Entra Koneksi.
Anda dapat mengubah daftar server yang ditampilkan dengan menambahkan atau menghapus server untuk mencerminkan konfigurasi dari farm Layanan Federasi Direktori Aktif saat ini. Segera setelah informasi server disediakan, Microsoft Entra Koneksi menampilkan konektivitas dan status sertifikat TLS/SSL saat ini.
Jika daftar berisi server yang bukan lagi bagian dari farm Layanan Federasi Direktori Aktif, klik Hapus untuk menghapus server dari daftar server di farm Layanan Federasi Direktori Aktif Anda.
Catatan
Menghapus server dari daftar server untuk farm Layanan Federasi Direktori Aktif di Microsoft Entra Koneksi adalah operasi lokal dan memperbarui informasi untuk farm Layanan Federasi Direktori Aktif yang dikelola Microsoft Entra Koneksi secara lokal. Microsoft Entra Koneksi tidak memodifikasi konfigurasi pada Layanan Federasi Direktori Aktif untuk mencerminkan perubahan.
Langkah 2: Berikan sertifikat TLS/SSL baru
Setelah Anda mengonfirmasi informasi tentang server farm LAYANAN Federasi Direktori Aktif, Microsoft Entra Koneksi meminta sertifikat TLS/SSL baru. Berikan sertifikat PFX yang dilindungi kata sandi untuk melanjutkan penginstalan.
Setelah Anda memberikan sertifikat, Microsoft Entra Koneksi melewati serangkaian prasyarat. Verifikasi sertifikat untuk memastikan bahwa sertifikat sudah benar untuk farm Layanan Federasi Direktori Aktif:
- Nama subjek/nama subjek alternatif untuk sertifikat sama dengan nama layanan federasi, atau sertifikat wildcard.
- Sertifikat ini berlaku selama lebih dari 30 hari.
- Rantai kepercayaan sertifikat valid.
- Sertifikat dilindungi kata sandi.
Langkah 3: Pilih server untuk pembaruan
Pada langkah berikutnya, pilih server yang perlu pembaruan sertifikat TLS/SSL. Server yang offline tak bisa dipilih untuk pembaruan.
Setelah Anda menyelesaikan konfigurasi, Microsoft Entra Koneksi menampilkan pesan yang menunjukkan status pembaruan dan menyediakan opsi untuk memverifikasi rincian masuk Layanan Federasi Direktori Aktif.
Tanya Jawab Umum
Apa yang harus menjadi nama subjek sertifikat untuk sertifikat TLS/SSL Layanan Federasi Direktori Aktif baru?
Microsoft Entra Koneksi memeriksa apakah nama subjek/nama subjek alternatif sertifikat berisi nama layanan federasi. Misalnya, jika nama layanan federasi Anda fs.contoso.com, nama subjek/nama subjek alternatif harus fs.contoso.com. Sertifikat wildcard juga diterima.
Mengapa saya meminta mandat lagi di halaman server WAP?
Jika kredensial yang Anda berikan untuk menyambungkan ke server Layanan Federasi Direktori Aktif tidak juga memiliki hak istimewa untuk mengelola server WAP, Maka Microsoft Entra Koneksi meminta kredensial yang memiliki hak istimewa administratif di server WAP.
Server ditampilkan offline. Apa yang harus saya lakukan?
Microsoft Entra Koneksi tidak dapat melakukan operasi apa pun jika server offline. Jika server adalah bagian dari farm Layanan Federasi Direktori Aktif, periksa konektivitas ke server. Setelah Anda mengatasi masalah ini, tekan ikon refresh untuk memperbarui status dalam wizard. Jika server adalah bagian dari farm sebelumnya tetapi sekarang tidak ada lagi, klik Hapus untuk menghapusnya dari daftar server yang dikelola microsoft Entra Koneksi. Menghapus server dari daftar di Microsoft Entra Koneksi tidak mengubah konfigurasi Layanan Federasi Direktori Aktif itu sendiri. Jika Anda menggunakan Layanan Federasi Direktori Aktif di Windows Server 2016 atau yang lebih baru, server tetap berada di pengaturan konfigurasi dan akan ditampilkan lagi saat berikutnya tugas dijalankan.
Dapatkah saya memperbarui subkumpulan server farm saya dengan sertifikat TLS/SSL baru?
Ya. Anda selalu bisa menjalankan tugas Perbarui Sertifikat SSL lagi untuk memperbarui server yang tersisa. Pada halaman Pilih server untuk pembaruan sertifikat SSL, Anda dapat mengurutkan daftar server pada Tanggal Kedaluwarsa SSL untuk dengan mudah mengakses server yang belum diperbarui.
Saya menghapus server di eksekusi sebelumnya, namun masih ditampilkan sebagai offline dan terdaftar di halaman Server AD FS. Mengapa server offline masih ada bahkan setelah dihapus?
Menghapus server dari daftar di Microsoft Entra Koneksi tidak menghapusnya dalam konfigurasi Layanan Federasi Direktori Aktif. Microsoft Entra Koneksi mereferensikan LAYANAN Federasi Direktori Aktif (Windows Server 2016 atau lebih tinggi) untuk informasi apa pun tentang farm. Jika server masih ada dalam konfigurasi Layanan Federasi Direktori Aktif, server akan dicantumkan kembali dalam daftar.