Rinnovare i certificati di federazione per Office 365 e Azure Active DirectoryRenew federation certificates for Office 365 and Azure Active Directory

OverviewOverview

Perché una federazione tra Azure Active Directory (Azure AD) e Active Directory Federation Services (AD FS) riesca, è necessario che i certificati usati da AD FS per la firma dei token di sicurezza in Azure AD corrispondano alle informazioni configurate in Azure AD.For successful federation between Azure Active Directory (Azure AD) and Active Directory Federation Services (AD FS), the certificates used by AD FS to sign security tokens to Azure AD should match what is configured in Azure AD. Eventuali informazioni non corrispondenti possono comportare l'interruzione del trust.Any mismatch can lead to broken trust. Azure AD assicura che queste informazioni rimangano sincronizzate durante la distribuzione di AD FS e Proxy applicazione Web (per l'accesso Extranet).Azure AD ensures that this information is kept in sync when you deploy AD FS and Web Application Proxy (for extranet access).

Questo articolo fornisce informazioni aggiuntive per gestire i certificati per la firma di token e mantenerli sincronizzati con Azure AD nei casi seguenti:This article provides you additional information to manage your token signing certificates and keep them in sync with Azure AD, in the following cases:

  • Non si distribuisce Proxy applicazione Web e quindi i metadati della federazione non sono disponibili nella Extranet.You are not deploying the Web Application Proxy, and therefore the federation metadata is not available in the extranet.
  • Non si usa la configurazione predefinita di AD FS per i certificati per la firma di token.You are not using the default configuration of AD FS for token signing certificates.
  • Si usa un provider di identità di terze parti.You are using a third-party identity provider.

Configurazione predefinita di AD FS per i certificati per la firma di tokenDefault configuration of AD FS for token signing certificates

I certificati di decrittografia token e per la firma di token sono in genere certificati autofirmati e sono validi per un anno.The token signing and token decrypting certificates are usually self-signed certificates, and are good for one year. Per impostazione predefinita, AD FS include un processo di rinnovo automatico denominato AutoCertificateRollover.By default, AD FS includes an auto-renewal process called AutoCertificateRollover. Se si usa AD FS 2.0 o versione successiva, Office 365 e Azure AD aggiornano automaticamente il certificato prima della scadenza.If you are using AD FS 2.0 or later, Office 365 and Azure AD automatically update your certificate before it expires.

Notifica di rinnovo dal portale di Office 365 o in un messaggio di posta elettronicaRenewal notification from the Office 365 portal or an email

Nota

Se si è ricevuta una notifica di posta elettronica o un avviso nel portale con la richiesta di rinnovare il certificato per Office, vedere la sezione sulla gestione delle modifiche ai certificati per la firma di token per verificare se è necessario intraprendere un'azione.If you received an email or a portal notification asking you to renew your certificate for Office, see Managing changes to token signing certificates to check if you need to take any action. Microsoft è a conoscenza di un possibile problema che può comportare l'invio di notifiche per il rinnovo dei certificati, anche quando non è richiesta alcuna azione.Microsoft is aware of a possible issue that can lead to notifications for certificate renewal being sent, even when no action is required.

Azure AD prova a monitorare i metadati della federazione e ad aggiornare i certificati per la firma di token come indicato dai metadati.Azure AD attempts to monitor the federation metadata, and update the token signing certificates as indicated by this metadata. 30 giorni prima della scadenza dei certificati per la firma di token, Azure AD verifica se i nuovi certificati sono disponibili eseguendo il poll dei metadati della federazione.30 days before the expiration of the token signing certificates, Azure AD checks if new certificates are available by polling the federation metadata.

  • Se riesce a eseguire il poll dei metadati della federazione e a recuperare i nuovi certificati, l'utente non riceverà alcuna notifica di posta elettronica né un avviso nel portale di Office 365.If it can successfully poll the federation metadata and retrieve the new certificates, no email notification or warning in the Office 365 portal is issued to the user.
  • Se non riesce a recuperare i nuovi certificati per la firma di token, perché i metadati della federazione non sono raggiungibili o perché il rollover automatico dei certificati non è abilitato, Azure AD genera una notifica di posta elettronica e visualizza un avviso nel portale di Office 365.If it cannot retrieve the new token signing certificates, either because the federation metadata is not reachable or automatic certificate rollover is not enabled, Azure AD issues an email notification and a warning in the Office 365 portal.

Notifica del portale di Office 365

Importante

Se si usa AD FS, per garantire la continuità aziendale, verificare che nei server siano stati applicati gli aggiornamenti seguenti, in modo da evitare che si verifichino errori di autenticazione per problemi noti.If you are using AD FS, to ensure business continuity, please verify that your servers have the following updates so that authentication failures for known issues do not occur. Si riducono in tal modo i problemi noti relativi al server proxy di AD FS per questo periodo di rinnovo e per quelli futuri:This mitigates known AD FS proxy server issues for this renewal and future renewal periods:

Server 2012 R2 - Aggiornamento cumulativo per Windows Server: maggio 2014Server 2012 R2 - Windows Server May 2014 rollup

Server 2008 R2 and 2012 - L'autenticazione tramite proxy ha esito negativo in Windows Server 2012 o Windows Server 2008 R2 SP1Server 2008 R2 and 2012 - Authentication through proxy fails in Windows Server 2012 or Windows 2008 R2 SP1

Verificare se è necessario aggiornare i certificati Check if the certificates need to be updated

Passaggio 1: Verificare lo stato di AutoCertificateRolloverStep 1: Check the AutoCertificateRollover state

Nel server AD FS aprire Powershell.On your AD FS server, open PowerShell. Verificare che il valore AutoCertificateRollover sia impostato su True.Check that the AutoCertificateRollover value is set to True.

Get-Adfsproperties

AutoCertificateRollover

Nota

Se si usa AD FS 2.0, eseguire prima Add-Pssnapin Microsoft.Adfs.Powershell.If you are using AD FS 2.0, first run Add-Pssnapin Microsoft.Adfs.Powershell.

Passaggio 2: Verificare che AD FS e Azure AD siano sincronizzatiStep 2: Confirm that AD FS and Azure AD are in sync

Nel server AD FS aprire il prompt di Azure AD PowerShell e connettersi ad Azure AD.On your AD FS server, open the Azure AD PowerShell prompt, and connect to Azure AD.

Nota

È possibile scaricare Azure AD PowerShell qui.You can download Azure AD PowerShell here.

Connect-MsolService

Verificare i certificati configurati in AD FS e le proprietà del trust di Azure AD per il dominio specificato.Check the certificates configured in AD FS and Azure AD trust properties for the specified domain.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Se le identificazioni personali in entrambi gli output corrispondono, i certificati sono sincronizzati con Azure AD.If the thumbprints in both the outputs match, your certificates are in sync with Azure AD.

Passaggio 3: Verificare se il certificato sta per scadereStep 3: Check if your certificate is about to expire

Nell'output di Get-MsolFederationProperty o Get-AdfsCertificate verificare la data in "Not after".In the output of either Get-MsolFederationProperty or Get-AdfsCertificate, check for the date under "Not After." Se mancano meno di 30 giorni alla scadenza, è consigliabile intervenire.If the date is less than 30 days away, you should take action.

AutoCertificateRolloverAutoCertificateRollover Certificati sincronizzati con Azure ADCertificates in sync with Azure AD I metadati della federazione sono accessibili pubblicamenteFederation metadata is publicly accessible ValiditàValidity AzioneAction
Yes Yes Yes - Non è richiesta alcuna azione.No action needed. Vedere Rinnovare automaticamente il certificato per la firma di token.See Renew token signing certificate automatically.
Yes NoNo - Meno di 15 giorniLess than 15 days Rinnovare immediatamente.Renew immediately. Vedere Rinnovare manualmente il certificato per la firma di token.See Renew token signing certificate manually.
NoNo - - Meno di 30 giorniLess than 30 days Rinnovare immediatamente.Renew immediately. Vedere Rinnovare manualmente il certificato per la firma di token.See Renew token signing certificate manually.

[-] Non è rilevante[-] Does not matter

Non è necessario eseguire passaggi manuali se vengono soddisfatte entrambe le condizioni seguenti:You don't need to perform any manual steps if both of the following are true:

  • È stato distribuito Proxy applicazione Web che può abilitare l'accesso ai metadati della federazione dalla Extranet.You have deployed Web Application Proxy, which can enable access to the federation metadata from the extranet.
  • Si usa la configurazione predefinita di AD FS (AutoCertificateRollover è abilitata).You are using the AD FS default configuration (AutoCertificateRollover is enabled).

Verificare quanto segue per assicurarsi che il certificato possa essere aggiornato.Check the following to confirm that the certificate can be automatically updated.

1. La proprietà AutoCertificateRollover di AD FS deve essere impostata su True.1. The AD FS property AutoCertificateRollover must be set to True. Ciò indica che AD FS genererà automaticamente nuovi certificati per la firma di token e certificati di decrittografia token prima della scadenza di quelli precedenti.This indicates that AD FS will automatically generate new token signing and token decryption certificates, before the old ones expire.

2. I metadati della federazione di AD FS sono accessibili pubblicamente.2. The AD FS federation metadata is publicly accessible. Verificare che i metadati di federazione siano accessibili pubblicamente, passare all'URL seguente da un computer sulla rete Internet pubblica (all'esterno della rete aziendale):Check that your federation metadata is publicly accessible by navigating to the following URL from a computer on the public internet (off of the corporate network):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xmlhttps://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

dove (your_FS_name)viene sostituito con il nome host del servizio federativo usato dall'organizzazione, ad esempio fs.contoso.com. Se si è in grado di verificare entrambe le impostazioni correttamente, non occorre eseguire altre operazioni.where (your_FS_name)is replaced with the federation service host name your organization uses, such as fs.contoso.com. If you are able to verify both of these settings successfully, you do not have to do anything else.

Esempio: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xmlExample: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Rinnovare manualmente il certificato per la firma di token Renew the token signing certificate manually

Si può scegliere di rinnovare manualmente i certificati per la firma di token.You may choose to renew the token signing certificates manually. Ad esempio, per gli scenari seguenti potrebbe funzionare meglio il rinnovo manuale:For example, the following scenarios might work better for manual renewal:

  • I certificati per la firma di token non sono certificati autofirmati.Token signing certificates are not self-signed certificates. Il motivo più comune è che l'organizzazione gestisce i certificati AD FS registrati da un'autorità di certificazione aziendale.The most common reason for this is that your organization manages AD FS certificates enrolled from an organizational certificate authority.
  • La sicurezza di rete non consente la disponibilità pubblica dei metadati della federazione.Network security does not allow the federation metadata to be publicly available.

In questi scenari, ogni volta che si aggiornano i certificati per la firma di token, è necessario aggiornare anche il dominio di Office 365 con il comando di PowerShell Update-MsolFederatedDomain.In these scenarios, every time you update the token signing certificates, you must also update your Office 365 domain by using the PowerShell command, Update-MsolFederatedDomain.

Passaggio 1: Verificare che in ADFS siamo disponibili nuovi certificati per la firma di tokenStep 1: Ensure that AD FS has new token signing certificates

Configurazione non predefinitaNon-default configuration

Se si usa una configurazione non predefinita di AD FS in cui AutoCertificateRollover è impostata su False, è probabile che siano in uso certificati personalizzati, ovvero non autofirmati.If you are using a non-default configuration of AD FS (where AutoCertificateRollover is set to False), you are probably using custom certificates (not self-signed). Per altre informazioni sul rinnovo dei certificati per la firma di token di AD FS, vedere Linee guida per i clienti che non usano certificati autofirmati di AD FS.For more information about how to renew the AD FS token signing certificates, see Guidance for customers not using AD FS self-signed certificates.

I metadati della federazione non sono disponibili pubblicamenteFederation metadata is not publicly available

D'altra parte, se AutoCertificateRollover è impostata su True, ma i metadati della federazione non sono accessibili pubblicamente, assicurarsi prima di tutto che i nuovi certificati per la firma di token siano stati generati da AD FS.On the other hand, if AutoCertificateRollover is set to True, but your federation metadata is not publicly accessible, first make sure that new token signing certificates have been generated by AD FS. Per verificare la disponibilità di nuovi certificati per la firma di token, seguire questa procedura:Confirm you have new token signing certificates by taking the following steps:

  1. Verificare di essere connessi al server AD FS primario.Verify that you are logged on to the primary AD FS server.
  2. Verificare i certificati di firma correnti in AD FS aprendo una finestra di comando di PowerShell ed eseguendo questo comando:Check the current signing certificates in AD FS by opening a PowerShell command window, and running the following command:

    PS C:>Get-ADFSCertificate –CertificateType token-signingPS C:>Get-ADFSCertificate –CertificateType token-signing

    Nota

    Se si usa AD FS 2.0, è consigliabile eseguire prima Add-Pssnapin Microsoft.Adfs.Powershell.If you are using AD FS 2.0, you should run Add-Pssnapin Microsoft.Adfs.Powershell first.

  3. Esaminare l'output del comando in tutti i certificati elencati.Look at the command output at any certificates listed. Se AD FS ha generato un nuovo certificato, saranno presenti due certificati nell'output: uno per cui il valore IsPrimary è True e la data NotAfter è entro 5 giorni e uno per cui IsPrimary è False e NotAfter è una data successiva di circa un anno.If AD FS has generated a new certificate, you should see two certificates in the output: one for which the IsPrimary value is True and the NotAfter date is within 5 days, and one for which IsPrimary is False and NotAfter is about a year in the future.
  4. Se è presente un solo certificato e la data NotAfter è entro 5 giorni, è necessario generare un nuovo certificato.If you only see one certificate, and the NotAfter date is within 5 days, you need to generate a new certificate.
  5. Per generare un nuovo certificato, eseguire il comando seguente al prompt dei comandi di PowerShell: PS C:\>Update-ADFSCertificate –CertificateType token-signing.To generate a new certificate, execute the following command at a PowerShell command prompt: PS C:\>Update-ADFSCertificate –CertificateType token-signing.
  6. Verificare l'aggiornamento eseguendo di nuovo il comando seguente: PS C:>Get-ADFSCertificate –CertificateType token-signingVerify the update by running the following command again: PS C:>Get-ADFSCertificate –CertificateType token-signing

A questo punto verranno elencati due certificati, uno dei quali ha una data NotAfter successiva di circa un anno e il valore IsPrimary è False.Two certificates should be listed now, one of which has a NotAfter date of approximately one year in the future, and for which the IsPrimary value is False.

Passaggio 2: Aggiornare i nuovi certificati per la firma di token per il trust di Office 365Step 2: Update the new token signing certificates for the Office 365 trust

Aggiornare Office 365 con i nuovi certificati per la firma di token da usare per il trust come indicato di seguito.Update Office 365 with the new token signing certificates to be used for the trust, as follows.

  1. Aprire il modulo di Microsoft Azure Active Directory per Windows PowerShell.Open the Microsoft Azure Active Directory Module for Windows PowerShell.
  2. Eseguire $cred=Get-Credential.Run $cred=Get-Credential. Quando questo cmdlet richiede le credenziali, digitare le credenziali dell'account amministratore servizio cloud.When this cmdlet prompts you for credentials, type your cloud service administrator account credentials.
  3. Eseguire Connect-MsolService –Credential $cred. Questo cmdlet consente di connettersi al servizio cloud.Run Connect-MsolService –Credential $cred. This cmdlet connects you to the cloud service. La creazione di un contesto che consente di connettersi al servizio cloud è necessaria prima di eseguire i cmdlet aggiuntivi installati dallo strumento.Creating a context that connects you to the cloud service is required before running any of the additional cmdlets installed by the tool.
  4. Se si eseguono questi comandi in un computer che non è il server federativo primario di ADFS, eseguire Set-MSOLAdfscontext -Computer , dove è il nome FQDN interno del server ADFS primario.If you are running these commands on a computer that is not the AD FS primary federation server, run Set-MSOLAdfscontext -Computer , where is the internal FQDN name of the primary AD FS server. Questo cmdlet crea un contesto che consente la connessione ad AD FS.This cmdlet creates a context that connects you to AD FS.
  5. Eseguire Update-MSOLFederatedDomain –DomainName .Run Update-MSOLFederatedDomain –DomainName . Questo cmdlet aggiorna le impostazioni di AD FS nel servizio cloud e configura la relazione di trust tra i due.This cmdlet updates the settings from AD FS into the cloud service, and configures the trust relationship between the two.

Nota

Se occorre supportare più domini di primo livello, ad esempio contoso.com e fabrikam.com, è necessario usare l'opzione SupportMultipleDomain con tutti i cmdlet.If you need to support multiple top-level domains, such as contoso.com and fabrikam.com, you must use the SupportMultipleDomain switch with any cmdlets. Per altre informazioni, vedere Supporto di più domini per la federazione con Azure AD.For more information, see Support for Multiple Top Level Domains.

Ripristinare il trust di Azure AD con AD Connect Repair Azure AD trust by using Azure AD Connect

Se la farm AD FS e il trust di Azure AD sono stati configurati con Azure AD Connect, è possibile usare quest'ultimo per rilevare se occorre intraprendere un'azione per i certificati per la firma di token.If you configured your AD FS farm and Azure AD trust by using Azure AD Connect, you can use Azure AD Connect to detect if you need to take any action for your token signing certificates. Se è necessario rinnovare i certificati, è possibile usare Azure AD Connect a questo scopo.If you need to renew the certificates, you can use Azure AD Connect to do so.

Per altre informazioni, vedere Ripristino del trust.For more information, see Repairing the trust.

Passaggi per l'aggiornamento dei certificati AD FS e Azure ADAD FS and Azure AD certificate update steps

I certificati per la firma di token sono certificati X509 standard usati per firmare in modo sicuro tutti i token rilasciati dal server federativo.Token signing certificates are standard X509 certificates that are used to securely sign all tokens that the federation server issues. I certificati di decrittografia token sono certificati X509 standard usati per decrittografare i token in ingresso.Token decryption certificates are standard X509 certificates that are used to decrypt any incoming tokens.

Per impostazione predefinita, AD FS è configurato per generare automaticamente i certificati per la firma di token e i certificati di decrittografia token, sia in fase di configurazione iniziale, sia quando i certificati hanno quasi raggiunto la data di scadenza.By default, AD FS is configured to generate token signing and token decryption certificates automatically, both at the initial configuration time and when the certificates are approaching their expiration date.

Azure AD tenta di recuperare un nuovo certificato dai metadati del servizio federativo 30 giorni prima della scadenza del certificato corrente.Azure AD tries to retrieve a new certificate from your federation service metadata 30 days before the expiry of the current certificate. Se un nuovo certificato non è disponibile in quel momento, Azure AD continuerà a monitorare i metadati ogni giorno a intervalli regolari.In case a new certificate is not available at that time, Azure AD will continue to monitor the metadata on regular daily intervals. Non appena il nuovo certificato è disponibile nei metadati, le impostazioni di federazione del dominio vengono aggiornate con le nuove informazioni del certificato.As soon as the new certificate is available in the metadata, the federation settings for the domain are updated with the new certificate information. È possibile usare Get-MsolDomainFederationSettings per verificare se il nuovo certificato è presente nel NextSigningCertificate / SigningCertificate.You can use Get-MsolDomainFederationSettings to verify if you see the new certificate in the NextSigningCertificate / SigningCertificate.

Per altre informazioni sui certificati per la firma di token in AD FS, vedere Obtain and Configure Token Signing and Token Decryption Certificates for AD FS (Ottenere e configurare i certificati per la firma di token e i certificati di decrittografia token per AD FS)For more information on Token Signing certificates in AD FS see Obtain and Configure Token Signing and Token Decryption Certificates for AD FS