Mendapatkan dan mengonfigurasi sertifikat TS dan TD untuk Layanan Federasi Direktori Aktif
Artikel ini menjelaskan tugas dan prosedur yang memastikan penandatanganan token Ad FS dan sertifikat dekripsi token Anda sudah diperbarui.
Sertifikat penandatanganan token adalah sertifikat X509 standar yang digunakan untuk menandatangani semua token yang menjadi masalah server federasi dengan aman. Sertifikat dekripsi token adalah sertifikat X509 standar yang digunakan untuk mendekripsi token masuk apa pun. Mereka juga diterbitkan dalam metadata federasi.
Untuk informasi lebih lanjut, lihat Persyaratan sertifikat.
Menentukan apakah AD FS memperbarui sertifikat secara otomatis
Secara default, Layanan Federasi Direktori Aktif dikonfigurasi untuk menghasilkan sertifikat penandatanganan token dan dekripsi token secara otomatis. Pembuatan terjadi baik pada konfigurasi awal maupun ketika sertifikat mendekati tanggal kedaluwarsanya.
Anda bisa menjalankan perintah Windows PowerShell berikut ini: Get-AdfsProperties
.
Properti AutoCertificateRollover menjelaskan apakah Layanan Federasi Direktori Aktif dikonfigurasi untuk memperbarui penandatanganan token dan sertifikat dekripsi token secara otomatis.
Jika AutoCertificateRollover diatur ke True
, sertifikat LAYANAN Federasi Direktori Aktif diperbarui dan dikonfigurasi di Layanan Federasi Direktori Aktif secara otomatis. Setelah sertifikat baru dikonfigurasi, Anda harus memastikan bahwa setiap mitra federasi diperbarui dengan sertifikat baru ini untuk menghindari pemadaman. Mitra federasi Anda diwakili di farm Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak atau kepercayaan penyedia klaim.
Jika Layanan Federasi Direktori Aktif tidak dikonfigurasi untuk memperbarui sertifikat penandatanganan token dan dekripsi token secara otomatis (misalnya, jika AutoCertificateRollover diatur ke False
), Ad FS tidak secara otomatis membuat atau menggunakan sertifikat penandatanganan token atau dekripsi token baru. Anda harus melakukan tugas-tugas ini secara manual.
Jika Layanan Federasi Direktori Aktif dikonfigurasi untuk memperbarui sertifikat penandatanganan token dan dekripsi token secara otomatis (AutoCertificateRollover diatur ke True
), Anda dapat menentukan kapan sertifikat diperbarui:
CertificateGenerationThreshold menjelaskan berapa hari sebelum sertifikat Tidak Setelah tanggal sertifikat baru dibuat.
CertificatePromotionThreshold menentukan berapa hari setelah sertifikat baru dibuat yang dipromosikan menjadi sertifikat utama. Layanan Federasi Direktori Aktif menggunakan CertificatePromotionThreshold untuk menandatangani token yang dikeluarkan dan mendekripsi token yang berasal dari penyedia identitas.
Menentukan kapan sertifikat saat ini kedaluwarsa
Anda dapat menggunakan prosedur berikut untuk mengidentifikasi penandatanganan token utama dan sertifikat dekripsi token dan untuk menentukan kapan sertifikat saat ini kedaluwarsa.
Anda dapat menjalankan perintah Windows PowerShell berikut ini: Get-AdfsCertificate –CertificateType token-signing
(atau Get-AdfsCertificate –CertificateType token-decrypting
). Anda juga dapat memeriksa sertifikat saat ini di MMC: Service-Certificates>.
Layanan Federasi Direktori Aktif menggunakan sertifikat yang nilainya IsPrimary
diatur ke True
.
Tanggal yang ditampilkan untuk Not After adalah tanggal di mana sertifikat penandatanganan atau dekripsi token utama baru harus dikonfigurasi.
Untuk memastikan kelangsungan layanan, semua mitra federasi harus menggunakan sertifikat penandatanganan token dan dekripsi token baru sebelum kedaluwarsa ini. Mitra federasi Anda diwakili di farm Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak atau kepercayaan penyedia klaim. Anda harus merencanakan proses ini setidaknya 60 hari sebelumnya.
Buat sertifikat baru yang ditandatangani sendiri secara manual sebelum akhir masa tenggang
Anda dapat membuat sertifikat baru yang ditandatangani sendiri secara manual sebelum akhir masa tenggang dengan menggunakan langkah-langkah berikut:
- Pastikan Anda masuk ke server LAYANAN Federasi Direktori Aktif utama.
- Buka Windows PowerShell dan jalankan perintah berikut:
Add-PSSnapin "microsoft.adfs.powershell"
. - Anda dapat memeriksa sertifikat penandatanganan saat ini di Layanan Federasi Direktori Aktif. Untuk melakukannya, jalankan perintah berikut:
Get-ADFSCertificate –CertificateType token-signing
. Lihat output perintah untuk melihat tanggal Tidak Setelah sertifikat apa pun yang tercantum. - Untuk menghasilkan sertifikat baru, jalankan perintah berikut untuk memperbarui dan memperbarui sertifikat di server LAYANAN Federasi Direktori Aktif:
Update-ADFSCertificate –CertificateType token-signing
. - Verifikasi pembaruan dengan menjalankan perintah berikut lagi:
Get-ADFSCertificate –CertificateType token-signing
. - Dua sertifikat harus dicantumkan sekarang. Seseorang harus memiliki tanggal Tidak Setelah sekitar satu tahun di masa depan. Yang lain harus memiliki nilai IsPrimary False.
Penting
Untuk menghindari pemadaman layanan, perbarui informasi sertifikat pada ID Microsoft Entra dengan sertifikat penandatanganan token yang valid.
Jika Anda tidak menggunakan sertifikat yang ditandatangani sendiri
Jika Anda tidak menggunakan sertifikat penandatanganan token dan dekripsi token yang dibuat secara default, dibuat secara otomatis, dan ditandatangani sendiri, Anda harus memperbarui dan mengonfigurasi sertifikat ini secara manual.
Pertama, Anda harus mendapatkan sertifikat baru dari otoritas sertifikat Anda dan mengimpornya ke penyimpanan sertifikat pribadi komputer lokal di setiap server federasi. Untuk petunjuknya, lihat Mengimpor sertifikat.
Kemudian Anda harus mengonfigurasi sertifikat ini sebagai penandatanganan token AD FS sekunder atau sertifikat dekripsi. Anda mengonfigurasinya sebagai sertifikat sekunder untuk memungkinkan mitra federasi Anda cukup waktu untuk menggunakan sertifikat baru ini sebelum Anda mempromosikannya ke sertifikat utama.
Mengonfigurasi sertifikat baru sebagai sertifikat sekunder
- Buka PowerShell dan jalankan
Set-ADFSProperties -AutoCertificateRollover $false
. - Setelah Anda mengimpor sertifikat. Buka konsol AD FS Management.
- Perluas Layanan dan pilih Sertifikat.
- Di panel Tindakan , pilih Tambahkan Sertifikat Penandatanganan Token.
- Pilih sertifikat baru dari daftar sertifikat yang ditampilkan, lalu pilih OK.
- Buka PowerShell dan jalankan
Set-ADFSProperties -AutoCertificateRollover $true
.
Peringatan
Pastikan sertifikat baru memiliki kunci privat yang terkait dengannya dan bahwa akun layanan Layanan Federasi Direktori Aktif diberikan izin Baca ke kunci privat. Verifikasi ini di setiap server federasi. Untuk melakukannya, di snap-in Sertifikat, klik kanan sertifikat baru, pilih Semua Tugas, lalu pilih Kelola Kunci Privat.
Mitra federasi menggunakan sertifikat baru Anda dengan menarik metadata federasi Anda atau dengan menerima kunci publik sertifikat baru Anda dari Anda. Setelah Anda mengizinkan cukup waktu bagi mitra federasi untuk menggunakan sertifikat baru, Anda harus mempromosikan sertifikat sekunder ke sertifikat utama.
Mempromosikan sertifikat baru dari sekunder ke primer
Buka konsol AD FS Management.
Perluas Layanan dan pilih Sertifikat.
Pilih sertifikat penandatanganan token sekunder.
Di panel Tindakan, pilih Atur sebagai Utama. Klik Ya saat muncul permintaan konfirmasi.
Memperbarui mitra federasi
Anda harus memperbarui mitra federasi Anda secara berbeda, tergantung pada apakah mereka dapat menggunakan metadata federasi.
Mitra yang dapat menggunakan metadata federasi
Saat memperpanjang dan mengonfigurasi sertifikat penandatanganan token atau dekripsi token baru, Anda harus memastikan semua mitra federasi Anda telah mengambil sertifikat baru. Mitra federasi Anda adalah organisasi sumber daya atau mitra organisasi akun yang diwakili dalam Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak dan kepercayaan penyedia klaim.
Mitra yang tidak dapat menggunakan metadata federasi
Jika mitra federasi Anda tidak dapat menggunakan metadata federasi, Anda harus mengirimkan kunci publik sertifikat penandatanganan token atau dekripsi token baru Anda secara manual. Kirim kunci umum sertifikat baru Anda (file.cer atau .p7b jika Anda ingin menyertakan seluruh rantai) ke semua organisasi sumber daya atau mitra organisasi akun Anda. Organisasi sumber daya atau mitra organisasi akun Anda diwakili dalam Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak dan kepercayaan penyedia klaim. Mitra harus menerapkan perubahan di sisi mereka untuk mempercayai sertifikat baru.
Promosikan ke primer jika AutoCertificateRollover adalah False
Jika AutoCertificateRollover diatur ke False
, Ad FS tidak secara otomatis menghasilkan atau menggunakan sertifikat penandatanganan token atau dekripsi token baru. Anda harus melakukan tugas-tugas ini secara manual. Setelah mengizinkan jangka waktu yang memadai bagi semua mitra federasi Anda untuk menggunakan sertifikat sekunder baru, promosikan sertifikat sekunder ini ke primer. Di snap-in MMC, pilih sertifikat penandatanganan token sekunder dan di panel Tindakan, pilih Atur Sebagai Utama.
Memperbarui ID Microsoft Entra
Layanan Federasi Direktori Aktif menyediakan akses menyeluruh ke layanan cloud Microsoft seperti Office 365 dengan mengautentikasi pengguna melalui kredensial AD DS yang ada. Untuk informasi selengkapnya, lihat Memperbarui sertifikat federasi untuk Office 365 dan ID Microsoft Entra.