Mendapatkan dan mengonfigurasi sertifikat TS dan TD untuk Layanan Federasi Direktori Aktif

  • Artikel

Artikel ini menjelaskan tugas dan prosedur yang memastikan penandatanganan token Ad FS dan sertifikat dekripsi token Anda sudah diperbarui.

Sertifikat penandatanganan token adalah sertifikat X509 standar yang digunakan untuk menandatangani semua token yang menjadi masalah server federasi dengan aman. Sertifikat dekripsi token adalah sertifikat X509 standar yang digunakan untuk mendekripsi token masuk apa pun. Mereka juga diterbitkan dalam metadata federasi.

Untuk informasi lebih lanjut, lihat Persyaratan sertifikat.

Menentukan apakah AD FS memperbarui sertifikat secara otomatis

Secara default, Layanan Federasi Direktori Aktif dikonfigurasi untuk menghasilkan sertifikat penandatanganan token dan dekripsi token secara otomatis. Pembuatan terjadi baik pada konfigurasi awal maupun ketika sertifikat mendekati tanggal kedaluwarsanya.

Anda bisa menjalankan perintah Windows PowerShell berikut ini: Get-AdfsProperties .

Screenshot of the PowerShell window, highlighting the AutoCertificateRollover and CertificateGenerationThreshold values.

Properti AutoCertificateRollover menjelaskan apakah Layanan Federasi Direktori Aktif dikonfigurasi untuk memperbarui penandatanganan token dan sertifikat dekripsi token secara otomatis.

Jika AutoCertificateRollover diatur ke True, sertifikat LAYANAN Federasi Direktori Aktif diperbarui dan dikonfigurasi di Layanan Federasi Direktori Aktif secara otomatis. Setelah sertifikat baru dikonfigurasi, Anda harus memastikan bahwa setiap mitra federasi diperbarui dengan sertifikat baru ini untuk menghindari pemadaman. Mitra federasi Anda diwakili di farm Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak atau kepercayaan penyedia klaim.

Jika Layanan Federasi Direktori Aktif tidak dikonfigurasi untuk memperbarui sertifikat penandatanganan token dan dekripsi token secara otomatis (misalnya, jika AutoCertificateRollover diatur ke False), Ad FS tidak secara otomatis membuat atau menggunakan sertifikat penandatanganan token atau dekripsi token baru. Anda harus melakukan tugas-tugas ini secara manual.

Jika Layanan Federasi Direktori Aktif dikonfigurasi untuk memperbarui sertifikat penandatanganan token dan dekripsi token secara otomatis (AutoCertificateRollover diatur ke True), Anda dapat menentukan kapan sertifikat diperbarui:

  • CertificateGenerationThreshold menjelaskan berapa hari sebelum sertifikat Tidak Setelah tanggal sertifikat baru dibuat.

  • CertificatePromotionThreshold menentukan berapa hari setelah sertifikat baru dibuat yang dipromosikan menjadi sertifikat utama. Layanan Federasi Direktori Aktif menggunakan CertificatePromotionThreshold untuk menandatangani token yang dikeluarkan dan mendekripsi token yang berasal dari penyedia identitas.

Screenshot of the PowerShell window, highlighting the CertificateGenerationThreshold and CertificatePromotionThreshhold values.

Menentukan kapan sertifikat saat ini kedaluwarsa

Anda dapat menggunakan prosedur berikut untuk mengidentifikasi penandatanganan token utama dan sertifikat dekripsi token dan untuk menentukan kapan sertifikat saat ini kedaluwarsa.

Anda dapat menjalankan perintah Windows PowerShell berikut ini: Get-AdfsCertificate –CertificateType token-signing (atau Get-AdfsCertificate –CertificateType token-decrypting). Anda juga dapat memeriksa sertifikat saat ini di MMC: Service-Certificates>.

Screenshot of the PowerShell window, highlighting the Not After date and the Is Primary properties.

Layanan Federasi Direktori Aktif menggunakan sertifikat yang nilainya IsPrimary diatur ke True.

Tanggal yang ditampilkan untuk Not After adalah tanggal di mana sertifikat penandatanganan atau dekripsi token utama baru harus dikonfigurasi.

Untuk memastikan kelangsungan layanan, semua mitra federasi harus menggunakan sertifikat penandatanganan token dan dekripsi token baru sebelum kedaluwarsa ini. Mitra federasi Anda diwakili di farm Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak atau kepercayaan penyedia klaim. Anda harus merencanakan proses ini setidaknya 60 hari sebelumnya.

Buat sertifikat baru yang ditandatangani sendiri secara manual sebelum akhir masa tenggang

Anda dapat membuat sertifikat baru yang ditandatangani sendiri secara manual sebelum akhir masa tenggang dengan menggunakan langkah-langkah berikut:

  1. Pastikan Anda masuk ke server LAYANAN Federasi Direktori Aktif utama.
  2. Buka Windows PowerShell dan jalankan perintah berikut: Add-PSSnapin "microsoft.adfs.powershell".
  3. Anda dapat memeriksa sertifikat penandatanganan saat ini di Layanan Federasi Direktori Aktif. Untuk melakukannya, jalankan perintah berikut: Get-ADFSCertificate –CertificateType token-signing. Lihat output perintah untuk melihat tanggal Tidak Setelah sertifikat apa pun yang tercantum.
  4. Untuk menghasilkan sertifikat baru, jalankan perintah berikut untuk memperbarui dan memperbarui sertifikat di server LAYANAN Federasi Direktori Aktif: Update-ADFSCertificate –CertificateType token-signing.
  5. Verifikasi pembaruan dengan menjalankan perintah berikut lagi: Get-ADFSCertificate –CertificateType token-signing.
  6. Dua sertifikat harus dicantumkan sekarang. Seseorang harus memiliki tanggal Tidak Setelah sekitar satu tahun di masa depan. Yang lain harus memiliki nilai IsPrimary False.

Penting

Untuk menghindari pemadaman layanan, perbarui informasi sertifikat pada ID Microsoft Entra dengan sertifikat penandatanganan token yang valid.

Jika Anda tidak menggunakan sertifikat yang ditandatangani sendiri

Jika Anda tidak menggunakan sertifikat penandatanganan token dan dekripsi token yang dibuat secara default, dibuat secara otomatis, dan ditandatangani sendiri, Anda harus memperbarui dan mengonfigurasi sertifikat ini secara manual.

Pertama, Anda harus mendapatkan sertifikat baru dari otoritas sertifikat Anda dan mengimpornya ke penyimpanan sertifikat pribadi komputer lokal di setiap server federasi. Untuk petunjuknya, lihat Mengimpor sertifikat.

Kemudian Anda harus mengonfigurasi sertifikat ini sebagai penandatanganan token AD FS sekunder atau sertifikat dekripsi. Anda mengonfigurasinya sebagai sertifikat sekunder untuk memungkinkan mitra federasi Anda cukup waktu untuk menggunakan sertifikat baru ini sebelum Anda mempromosikannya ke sertifikat utama.

Mengonfigurasi sertifikat baru sebagai sertifikat sekunder

  1. Buka PowerShell dan jalankan Set-ADFSProperties -AutoCertificateRollover $false.
  2. Setelah Anda mengimpor sertifikat. Buka konsol AD FS Management.
  3. Perluas Layanan dan pilih Sertifikat.
  4. Di panel Tindakan , pilih Tambahkan Sertifikat Penandatanganan Token. Screenshot of the AD FS dialog box, highlighting the Add Token Signing Certificate option.
  5. Pilih sertifikat baru dari daftar sertifikat yang ditampilkan, lalu pilih OK.
  6. Buka PowerShell dan jalankan Set-ADFSProperties -AutoCertificateRollover $true.

Peringatan

Pastikan sertifikat baru memiliki kunci privat yang terkait dengannya dan bahwa akun layanan Layanan Federasi Direktori Aktif diberikan izin Baca ke kunci privat. Verifikasi ini di setiap server federasi. Untuk melakukannya, di snap-in Sertifikat, klik kanan sertifikat baru, pilih Semua Tugas, lalu pilih Kelola Kunci Privat.

Mitra federasi menggunakan sertifikat baru Anda dengan menarik metadata federasi Anda atau dengan menerima kunci publik sertifikat baru Anda dari Anda. Setelah Anda mengizinkan cukup waktu bagi mitra federasi untuk menggunakan sertifikat baru, Anda harus mempromosikan sertifikat sekunder ke sertifikat utama.

Mempromosikan sertifikat baru dari sekunder ke primer

  1. Buka konsol AD FS Management.

  2. Perluas Layanan dan pilih Sertifikat.

  3. Pilih sertifikat penandatanganan token sekunder.

  4. Di panel Tindakan, pilih Atur sebagai Utama. Klik Ya saat muncul permintaan konfirmasi.

    Screenshot of the AD FS dialog box, highlighting the Set as Primary option.

Memperbarui mitra federasi

Anda harus memperbarui mitra federasi Anda secara berbeda, tergantung pada apakah mereka dapat menggunakan metadata federasi.

Mitra yang dapat menggunakan metadata federasi

Saat memperpanjang dan mengonfigurasi sertifikat penandatanganan token atau dekripsi token baru, Anda harus memastikan semua mitra federasi Anda telah mengambil sertifikat baru. Mitra federasi Anda adalah organisasi sumber daya atau mitra organisasi akun yang diwakili dalam Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak dan kepercayaan penyedia klaim.

Mitra yang tidak dapat menggunakan metadata federasi

Jika mitra federasi Anda tidak dapat menggunakan metadata federasi, Anda harus mengirimkan kunci publik sertifikat penandatanganan token atau dekripsi token baru Anda secara manual. Kirim kunci umum sertifikat baru Anda (file.cer atau .p7b jika Anda ingin menyertakan seluruh rantai) ke semua organisasi sumber daya atau mitra organisasi akun Anda. Organisasi sumber daya atau mitra organisasi akun Anda diwakili dalam Layanan Federasi Direktori Aktif Anda dengan mengandalkan kepercayaan pihak dan kepercayaan penyedia klaim. Mitra harus menerapkan perubahan di sisi mereka untuk mempercayai sertifikat baru.

Promosikan ke primer jika AutoCertificateRollover adalah False

Jika AutoCertificateRollover diatur ke False, Ad FS tidak secara otomatis menghasilkan atau menggunakan sertifikat penandatanganan token atau dekripsi token baru. Anda harus melakukan tugas-tugas ini secara manual. Setelah mengizinkan jangka waktu yang memadai bagi semua mitra federasi Anda untuk menggunakan sertifikat sekunder baru, promosikan sertifikat sekunder ini ke primer. Di snap-in MMC, pilih sertifikat penandatanganan token sekunder dan di panel Tindakan, pilih Atur Sebagai Utama.

Memperbarui ID Microsoft Entra

Layanan Federasi Direktori Aktif menyediakan akses menyeluruh ke layanan cloud Microsoft seperti Office 365 dengan mengautentikasi pengguna melalui kredensial AD DS yang ada. Untuk informasi selengkapnya, lihat Memperbarui sertifikat federasi untuk Office 365 dan ID Microsoft Entra.