Federatiecertificaten vernieuwen voor Office 365 en Azure Active DirectoryRenew federation certificates for Office 365 and Azure Active Directory

OverzichtOverview

Geslaagde federatie tussen Azure Active Directory (Azure AD) en Active Directory Federation Services (AD FS), de certificaten die zijn gebruikt door AD FS voor het ondertekenen van beveiligingstokens aan Azure AD moeten overeenkomen met wat in Azure AD is geconfigureerd.For successful federation between Azure Active Directory (Azure AD) and Active Directory Federation Services (AD FS), the certificates used by AD FS to sign security tokens to Azure AD should match what is configured in Azure AD. Niet overeenkomen, kan leiden tot verbroken vertrouwensrelatie.Any mismatch can lead to broken trust. Azure AD zorgt ervoor dat deze gegevens synchroon worden gehouden bij het implementeren van AD FS en Web Application Proxy (voor toegang tot het extranet).Azure AD ensures that this information is kept in sync when you deploy AD FS and Web Application Proxy (for extranet access).

Dit artikel vindt u aanvullende informatie voor het beheren van uw token handtekeningcertificaten en synchroniseren met Azure AD in de volgende gevallen:This article provides you additional information to manage your token signing certificates and keep them in sync with Azure AD, in the following cases:

  • Implementeert u de Web Application Proxy en de federatiemetagegevens is daarom niet beschikbaar in het extranet.You are not deploying the Web Application Proxy, and therefore the federation metadata is not available in the extranet.
  • U de standaardconfiguratie van AD FS niet gebruikt voor token-ondertekening van certificaten.You are not using the default configuration of AD FS for token signing certificates.
  • U kunt een externe id-provider worden gebruikt.You are using a third-party identity provider.

Standaardconfiguratie van AD FS voor token-ondertekening van certificatenDefault configuration of AD FS for token signing certificates

Het token-ondertekening en certificaten decoderen-token zijn meestal zelfondertekende certificaten en geschikt zijn voor één jaar.The token signing and token decrypting certificates are usually self-signed certificates, and are good for one year. Standaard AD FS bevat een automatische verlenging-proces met de naam AutoCertificateRollover.By default, AD FS includes an auto-renewal process called AutoCertificateRollover. Als u AD FS 2.0 of hoger, Office 365 en Azure AD automatisch bijwerken van uw certificaat voordat deze verloopt.If you are using AD FS 2.0 or later, Office 365 and Azure AD automatically update your certificate before it expires.

Vernieuwen van meldingen vanuit de Office 365-portal of een e-mailberichtRenewal notification from the Office 365 portal or an email

Notitie

Als u een e-mailadres of een portalmelding of u wilt een certificaat vernieuwen voor Office, Zie ontvangen beheren van wijzigingen naar certificaten voor tokenondertekening om te controleren als u geen actie te ondernemen.If you received an email or a portal notification asking you to renew your certificate for Office, see Managing changes to token signing certificates to check if you need to take any action. Microsoft is op de hoogte van een mogelijk probleem die tot meldingen voor certificaatvernieuwing wordt verzonden leiden kan, zelfs wanneer er is geen actie vereist.Microsoft is aware of a possible issue that can lead to notifications for certificate renewal being sent, even when no action is required.

Azure AD wordt geprobeerd om te controleren van de federatiemetagegevens en bijwerken van het token-ondertekening van certificaten, zoals aangegeven door deze metagegevens.Azure AD attempts to monitor the federation metadata, and update the token signing certificates as indicated by this metadata. 30 dagen vóór de vervaldatum van token-ondertekening van certificaten, controleert Azure AD of er nieuwe certificaten beschikbaar zijn door de federatiemetagegevens polling.30 days before the expiration of the token signing certificates, Azure AD checks if new certificates are available by polling the federation metadata.

  • Als deze kan pollen van de federatiemetagegevens en de nieuwe certificaten ophalen, wordt geen e-mailmelding of waarschuwingen in de Office 365-beheerportal verleend aan de gebruiker.If it can successfully poll the federation metadata and retrieve the new certificates, no email notification or warning in the Office 365 portal is issued to the user.
  • Als deze geen nieuwe token-ondertekening van certificaten ophalen, ofwel omdat de federatiemetagegevens is niet bereikbaar is of automatische certificaatrollover niet is ingeschakeld, omdat Azure AD geeft een e-mailbericht en een waarschuwing in de Office 365-beheerportal.If it cannot retrieve the new token signing certificates, either because the federation metadata is not reachable or automatic certificate rollover is not enabled, Azure AD issues an email notification and a warning in the Office 365 portal.

Office 365-portalmelding

Belangrijk

Als u AD FS wordt gebruikt voor bedrijfscontinuïteit te waarborgen, Controleer of dat uw servers beschikken over de volgende updates zodat verificatiefouten voor bekende problemen, niet wordt uitgevoerd.If you are using AD FS, to ensure business continuity, please verify that your servers have the following updates so that authentication failures for known issues do not occur. Dit vermindert het probleem van bekende problemen met AD FS proxy-server voor deze vernieuwen en van toekomstige vernieuwingsperioden:This mitigates known AD FS proxy server issues for this renewal and future renewal periods:

Server 2012 R2 - WindowsServer mei 2014 samenvouwenServer 2012 R2 - Windows Server May 2014 rollup

Server 2008 R2 en 2012 - verificatie via proxy is mislukt in Windows Server 2012 of Windows 2008 R2 SP1Server 2008 R2 and 2012 - Authentication through proxy fails in Windows Server 2012 or Windows 2008 R2 SP1

Controleer of de certificaten moeten worden bijgewerkt Check if the certificates need to be updated

Stap 1: Controleer de status van de AutoCertificateRolloverStep 1: Check the AutoCertificateRollover state

Open PowerShell op uw AD FS-server.On your AD FS server, open PowerShell. Controleer of de waarde AutoCertificateRollover is ingesteld op True.Check that the AutoCertificateRollover value is set to True.

Get-Adfsproperties

AutoCertificateRollover

Notitie

Als u van AD FS 2.0 gebruikmaakt, moet u eerst Add-Pssnapin Microsoft.Adfs.Powershell uitvoeren.If you are using AD FS 2.0, first run Add-Pssnapin Microsoft.Adfs.Powershell.

Stap 2: Controleer of AD FS en Azure AD gesynchroniseerd zijnStep 2: Confirm that AD FS and Azure AD are in sync

Open de MSOnline PowerShell-prompt op uw AD FS-server en verbinding maken met Azure AD.On your AD FS server, open the MSOnline PowerShell prompt, and connect to Azure AD.

Notitie

MSOL-Cmdlets zijn onderdeel van de MSOnline PowerShell-module.MSOL-Cmdlets are part of the MSOnline PowerShell module. U kunt de MSOnline PowerShell-Module downloaden rechtstreeks vanuit de PowerShell Gallery.You can download the MSOnline PowerShell Module directly from the PowerShell Gallery.

Install-Module MSOnline

Verbinding maken met Azure AD met behulp van de MSOnline PowerShell-Module.Connect to Azure AD using the MSOnline PowerShell-Module.

Import-Module MSOnline
Connect-MsolService

Controleer de certificaten die zijn geconfigureerd in AD FS en Azure AD-eigenschappen voor het opgegeven domein vertrouwen.Check the certificates configured in AD FS and Azure AD trust properties for the specified domain.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Als de vingerafdrukken in zowel de uitvoer overeenkomen, is uw certificaten zijn gesynchroniseerd met Azure AD.If the thumbprints in both the outputs match, your certificates are in sync with Azure AD.

Stap 3: Controleren of het certificaat verloopt binnenkortStep 3: Check if your certificate is about to expire

Schakel in de uitvoer van Get-MsolFederationProperty of Get-AdfsCertificate, voor de datum bij "Niet na."In the output of either Get-MsolFederationProperty or Get-AdfsCertificate, check for the date under "Not After." Als de datum minder dan 30 dagen opgeslagen is, moet u actie ondernemen.If the date is less than 30 days away, you should take action.

AutoCertificateRolloverAutoCertificateRollover Met Azure AD gesynchroniseerde certificatenCertificates in sync with Azure AD Federatiemetagegevens is openbaar toegankelijkFederation metadata is publicly accessible GeldigheidsduurValidity BewerkingAction
JaYes JaYes JaYes - Er is geen actie nodig.No action needed. Zie automatisch vernieuwen token-ondertekening certificaat.See Renew token signing certificate automatically.
JaYes NeeNo - Minder dan 15 dagenLess than 15 days Onmiddellijk vernieuwen.Renew immediately. Zie handmatig vernieuwen token-ondertekening certificaat.See Renew token signing certificate manually.
NeeNo - - Minder dan 30 dagenLess than 30 days Onmiddellijk vernieuwen.Renew immediately. Zie handmatig vernieuwen token-ondertekening certificaat.See Renew token signing certificate manually.

[-] Maakt niet uit[-] Does not matter

U moet geen eventuele handmatige stappen uitvoeren als beide van de volgende waar zijn:You don't need to perform any manual steps if both of the following are true:

  • Web Application Proxy, die toegang tot de federatiemetagegevens van het extranet kunt inschakelen als u hebt geïmplementeerd.You have deployed Web Application Proxy, which can enable access to the federation metadata from the extranet.
  • U gebruikt de standaardconfiguratie van de AD FS (AutoCertificateRollover is ingeschakeld).You are using the AD FS default configuration (AutoCertificateRollover is enabled).

Controleer het volgende om te bevestigen dat het certificaat automatisch kan worden bijgewerkt.Check the following to confirm that the certificate can be automatically updated.

1. De AD FS-eigenschap AutoCertificateRollover moet worden ingesteld op True.1. The AD FS property AutoCertificateRollover must be set to True. Hiermee wordt aangegeven dat AD FS genereert automatisch nieuwe token-ondertekening en certificaten voor token-decodering, voordat u de oude zijn verlopen.This indicates that AD FS will automatically generate new token signing and token decryption certificates, before the old ones expire.

2. De AD FS-federatiemetagegevens is openbaar toegankelijk.2. The AD FS federation metadata is publicly accessible. Controleer of de federatiemetagegevens openbaar toegankelijk is door te navigeren naar de volgende URL vanaf een computer op het openbare internet (buiten het bedrijfsnetwerk):Check that your federation metadata is publicly accessible by navigating to the following URL from a computer on the public internet (off of the corporate network):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xmlhttps://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

waar (your_FS_name)wordt vervangen door de hostnaam van de federation-service gebruikmaakt van uw organisatie, zoals fs.contoso.com.where (your_FS_name)is replaced with the federation service host name your organization uses, such as fs.contoso.com. Als u kunt om te controleren of beide van deze instellingen is, u niet hoeft te doen.If you are able to verify both of these settings successfully, you do not have to do anything else.

Voorbeeld: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xmlExample: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Het token-ondertekening certificaat handmatig vernieuwen Renew the token signing certificate manually

U kunt kiezen om het token handtekeningcertificaten handmatig te verlengen.You may choose to renew the token signing certificates manually. Bijvoorbeeld, de volgende scenario's werken mogelijk beter voor handmatig verlengen:For example, the following scenarios might work better for manual renewal:

  • Token handtekeningcertificaten zijn geen zelfondertekende certificaten.Token signing certificates are not self-signed certificates. De meest voorkomende reden hiervoor is dat AD FS-certificaten die zijn geregistreerd bij een organisatie-certificeringsinstantie wordt beheerd door uw organisatie.The most common reason for this is that your organization manages AD FS certificates enrolled from an organizational certificate authority.
  • Beveiliging van het netwerk is niet toegestaan voor de federatiemetagegevens moet openbaar beschikbaar.Network security does not allow the federation metadata to be publicly available.

In deze scenario's telkens wanneer u het token bijwerkt-ondertekening van certificaten, moet u ook bijwerken uw Office 365-domein met behulp van de PowerShell-opdracht, Update-MsolFederatedDomain.In these scenarios, every time you update the token signing certificates, you must also update your Office 365 domain by using the PowerShell command, Update-MsolFederatedDomain.

Stap 1: Zorg ervoor dat AD FS heeft nieuwe token handtekeningcertificatenStep 1: Ensure that AD FS has new token signing certificates

Niet-standaard-configuratieNon-default configuration

Als u een niet-standaard-configuratie van AD FS (waarbij AutoCertificateRollover is ingesteld op False), gebruikt u waarschijnlijk aangepaste certificaten (niet zelf ondertekend).If you are using a non-default configuration of AD FS (where AutoCertificateRollover is set to False), you are probably using custom certificates (not self-signed). Zie voor meer informatie over het vernieuwen van de AD FS-token handtekeningcertificaten richtlijnen voor klanten die AD FS niet gebruikt zelfondertekende certificaten.For more information about how to renew the AD FS token signing certificates, see Guidance for customers not using AD FS self-signed certificates.

Federatiemetagegevens is niet openbaar beschikbaarFederation metadata is not publicly available

Aan de andere kant als AutoCertificateRollover is ingesteld op waar, maar uw federatiemetagegevens is niet openbaar toegankelijk is, eerst voor zorgen dat nieuwe certificaten voor tokenondertekening zijn gegenereerd door de AD FS.On the other hand, if AutoCertificateRollover is set to True, but your federation metadata is not publicly accessible, first make sure that new token signing certificates have been generated by AD FS. Controleer of er nieuwe token-ondertekening van certificaten door de volgende stappen uit:Confirm you have new token signing certificates by taking the following steps:

  1. Controleer of u bent aangemeld met de primaire AD FS-server.Verify that you are logged on to the primary AD FS server.
  2. Controleer de huidige handtekeningcertificaten in AD FS door een PowerShell-opdrachtvenster openen en het uitvoeren van de volgende opdracht uit:Check the current signing certificates in AD FS by opening a PowerShell command window, and running the following command:

    PS C:>Get-ADFSCertificate – CertificateType token-ondertekeningPS C:>Get-ADFSCertificate –CertificateType token-signing

    Notitie

    Als u van AD FS 2.0 gebruikmaakt, moet u eerst Add-Pssnapin Microsoft.Adfs.Powershell uitvoeren.If you are using AD FS 2.0, you should run Add-Pssnapin Microsoft.Adfs.Powershell first.

  3. Bekijk de uitvoer van de opdracht op alle certificaten die worden vermeld.Look at the command output at any certificates listed. Als u AD FS is een nieuw certificaat gegenereerd, ziet u twee certificaten in de uitvoer: een waarvoor de IsPrimary waarde is waar en de NotAfter datum valt binnen vijf dagen , en één waarvoor IsPrimary is False en NotAfter is over een jaar in de toekomst.If AD FS has generated a new certificate, you should see two certificates in the output: one for which the IsPrimary value is True and the NotAfter date is within 5 days, and one for which IsPrimary is False and NotAfter is about a year in the future.
  4. Als er slechts één certificaat en de NotAfter datum valt binnen vijf dagen, moet u een nieuw certificaat genereren.If you only see one certificate, and the NotAfter date is within 5 days, you need to generate a new certificate.
  5. Als u wilt een nieuw certificaat genereren, dan de volgende opdracht achter de PowerShell-opdrachtprompt: PS C:\>Update-ADFSCertificate –CertificateType token-signing.To generate a new certificate, execute the following command at a PowerShell command prompt: PS C:\>Update-ADFSCertificate –CertificateType token-signing.
  6. Controleer of de update door de volgende opdracht nogmaals uit te voeren: PS C:>Get-ADFSCertificate – CertificateType token-ondertekeningVerify the update by running the following command again: PS C:>Get-ADFSCertificate –CertificateType token-signing

Twee certificaten moeten nu worden weergegeven, die een NotAfter datum van ongeveer één jaar in de toekomst, en waarvoor de IsPrimary waarde False.Two certificates should be listed now, one of which has a NotAfter date of approximately one year in the future, and for which the IsPrimary value is False.

Stap 2: Het nieuwe token-ondertekening van certificaten voor de Office 365-vertrouwensrelatie bijwerkenStep 2: Update the new token signing certificates for the Office 365 trust

Office 365 met het nieuwe token-ondertekening van certificaten moet worden gebruikt voor de vertrouwensrelatie als volgt bijwerken.Update Office 365 with the new token signing certificates to be used for the trust, as follows.

  1. Open de Microsoft Azure Active Directory-Module voor Windows PowerShell.Open the Microsoft Azure Active Directory Module for Windows PowerShell.
  2. Voer $cred = Get-Credential.Run $cred=Get-Credential. Wanneer deze cmdlet u om referenties vraagt, typt u uw referenties met administrator-account voor cloud-service.When this cmdlet prompts you for credentials, type your cloud service administrator account credentials.
  3. Connect-MsolService uitvoeren: $cred van referenties. Deze cmdlet maakt u verbinding met de cloudservice.Run Connect-MsolService –Credential $cred. This cmdlet connects you to the cloud service. Het maken van een context die u maakt verbinding met de cloudservice is vereist voordat u een van de aanvullende cmdlets geïnstalleerd door het hulpprogramma uitvoert.Creating a context that connects you to the cloud service is required before running any of the additional cmdlets installed by the tool.
  4. Als u deze opdrachten op een computer die niet de primaire AD FS-federatieserver uitvoert, voert u Set-MSOLAdfscontext-Computer <primaire AD FS-server>, waarbij <primaire AD FS-server> is de interne FQDN-naam de naam van de primaire AD FS-server.If you are running these commands on a computer that is not the AD FS primary federation server, run Set-MSOLAdfscontext -Computer <AD FS primary server>, where <AD FS primary server> is the internal FQDN name of the primary AD FS server. Met deze cmdlet maakt een context die u met AD FS verbindt.This cmdlet creates a context that connects you to AD FS.
  5. Voer Update-MSOLFederatedDomain – DomainName <domein>.Run Update-MSOLFederatedDomain –DomainName <domain>. Deze cmdlet worden de instellingen van AD FS in de cloudservice-updates en configureert u de vertrouwensrelatie tussen de twee.This cmdlet updates the settings from AD FS into the cloud service, and configures the trust relationship between the two.

Notitie

Als u nodig hebt ter ondersteuning van meerdere domeinen op het hoogste niveau, zoals contoso.com en fabrikam.com, moet u de SupportMultipleDomain overschakelen met cmdlets.If you need to support multiple top-level domains, such as contoso.com and fabrikam.com, you must use the SupportMultipleDomain switch with any cmdlets. Zie voor meer informatie, ondersteuning voor meerdere domeinen van het hoogste niveau.For more information, see Support for Multiple Top Level Domains.

Azure AD-vertrouwensrelatie herstellen met behulp van Azure AD Connect Repair Azure AD trust by using Azure AD Connect

Als u uw AD FS-farm en Azure AD-vertrouwensrelatie met behulp van Azure AD Connect hebt geconfigureerd, kunt u Azure AD Connect kunt gebruiken om te detecteren als u geen actie voor uw token handtekeningcertificaten te ondernemen.If you configured your AD FS farm and Azure AD trust by using Azure AD Connect, you can use Azure AD Connect to detect if you need to take any action for your token signing certificates. Als u de certificaten vernieuwen wilt, kunt u Azure AD Connect kunt gebruiken om dit te doen.If you need to renew the certificates, you can use Azure AD Connect to do so.

Zie voor meer informatie, herstellen van de vertrouwensrelatie.For more information, see Repairing the trust.

AD FS en Azure AD-certificaten updatestappenAD FS and Azure AD certificate update steps

Token handtekeningcertificaten worden standaard X509 certificaten die worden gebruikt voor het ondertekenen van veilig alle tokens die de federatieserver heeft uitgegeven.Token signing certificates are standard X509 certificates that are used to securely sign all tokens that the federation server issues. Certificaten voor token-decodering zijn standaard X509 certificaten die worden gebruikt voor het ontsleutelen van eventuele binnenkomend tokens.Token decryption certificates are standard X509 certificates that are used to decrypt any incoming tokens.

AD FS is standaard geconfigureerd automatisch genereren van certificaten voor token-decodering en token-ondertekening, zowel op het moment van de eerste configuratie en wanneer de certificaten de vervaldatum nadert.By default, AD FS is configured to generate token signing and token decryption certificates automatically, both at the initial configuration time and when the certificates are approaching their expiration date.

Azure AD probeert op te halen van een nieuw certificaat uit de metagegevens van uw federation service 30 dagen vóór de vervaldatum van het huidige certificaat.Azure AD tries to retrieve a new certificate from your federation service metadata 30 days before the expiry of the current certificate. Een nieuw certificaat op dat moment niet beschikbaar is, blijft Azure AD voor het bewaken van de metagegevens van de dagelijkse regelmatig.In case a new certificate is not available at that time, Azure AD will continue to monitor the metadata on regular daily intervals. Zodra het nieuwe certificaat in de metagegevens beschikbaar is, wordt de federatie-instellingen voor het domein worden bijgewerkt met de gegevens van het nieuwe certificaat.As soon as the new certificate is available in the metadata, the federation settings for the domain are updated with the new certificate information. U kunt Get-MsolDomainFederationSettings om te controleren als u het nieuwe certificaat in de NextSigningCertificate ziet / SigningCertificate.You can use Get-MsolDomainFederationSettings to verify if you see the new certificate in the NextSigningCertificate / SigningCertificate.

Zie voor meer informatie over het Token-ondertekening certificaten in AD FS verkrijgen en configureren van Token-ondertekening en Token Ontsleutelingscertificaten voor AD FSFor more information on Token Signing certificates in AD FS see Obtain and Configure Token Signing and Token Decryption Certificates for AD FS