Het TLS/SSL-certificaat voor een Active Directory Federation Services (AD FS)-farm bijwerken
Overzicht
In dit artikel wordt beschreven hoe u Microsoft Entra Verbinding maken kunt gebruiken om het TLS/SSL-certificaat voor een AD FS-farm (Active Directory Federation Services) bij te werken. U kunt het hulpprogramma Microsoft Entra Verbinding maken gebruiken om het TLS/SSL-certificaat voor de AD FS-farm eenvoudig bij te werken, zelfs als de geselecteerde gebruikersaanmeldingsmethode niet AD FS is.
U kunt de hele bewerking van het bijwerken van TLS/SSL-certificaat voor de AD FS-farm uitvoeren op alle federatie- en WAP-servers (Web Application Proxy) in drie eenvoudige stappen:
Notitie
Zie Inzicht in certificaten die door AD FS worden gebruikt voor meer informatie over certificaten die door AD FS worden gebruikt.
Vereisten
- AD FS-farm: zorg ervoor dat uw AD FS-farm is gebaseerd op Windows Server 2012 R2 of hoger.
- Microsoft Entra Verbinding maken: Zorg ervoor dat de versie van Microsoft Entra Verbinding maken 1.1.553.0 of hoger is. U gebruikt de taak AD FS SSL-certificaat bijwerken.
Stap 1: AD FS-farmgegevens opgeven
Microsoft Entra Verbinding maken probeert automatisch informatie over de AD FS-farm te verkrijgen door:
- Query's uitvoeren op de farmgegevens van AD FS (Windows Server 2016 of hoger).
- Verwijst naar de informatie uit eerdere uitvoeringen, die lokaal worden opgeslagen met Microsoft Entra Verbinding maken.
U kunt de lijst met servers wijzigen die worden weergegeven door de servers toe te voegen of te verwijderen om de huidige configuratie van de AD FS-farm weer te geven. Zodra de servergegevens zijn opgegeven, geeft Microsoft Entra Verbinding maken de connectiviteit en de status van het huidige TLS/SSL-certificaat weer.
Als de lijst een server bevat die niet langer deel uitmaakt van de AD FS-farm, klikt u op Verwijderen om de server te verwijderen uit de lijst met servers in uw AD FS-farm.
Notitie
Het verwijderen van een server uit de lijst met servers voor een AD FS-farm in Microsoft Entra Verbinding maken is een lokale bewerking en werkt de informatie bij voor de AD FS-farm die Microsoft Entra Verbinding maken lokaal onderhoudt. Microsoft Entra Verbinding maken wijzigt de configuratie op AD FS niet zodat deze overeenkomt met de wijziging.
Stap 2: Een nieuw TLS/SSL-certificaat opgeven
Nadat u de informatie over AD FS-farmservers hebt bevestigd, vraagt Microsoft Entra Verbinding maken om het nieuwe TLS/SSL-certificaat. Geef een PFX-certificaat met een wachtwoordbeveiliging op om door te gaan met de installatie.
Nadat u het certificaat hebt opgegeven, doorloopt Microsoft Entra Verbinding maken een reeks vereisten. Controleer het certificaat om ervoor te zorgen dat het certificaat juist is voor de AD FS-farm:
- De onderwerpnaam/alternatieve onderwerpnaam voor het certificaat is hetzelfde als de naam van de federatieservice of het is een jokertekencertificaat.
- Het certificaat is langer dan 30 dagen geldig.
- De vertrouwensketen van het certificaat is geldig.
- Het certificaat is beveiligd met een wachtwoord.
Stap 3: Servers selecteren voor de update
Selecteer in de volgende stap de servers waarop het TLS/SSL-certificaat moet worden bijgewerkt. Servers die offline zijn, kunnen niet worden geselecteerd voor de update.
Nadat u de configuratie hebt voltooid, geeft Microsoft Entra Verbinding maken het bericht weer dat de status van de update aangeeft en een optie biedt om de AD FS-aanmelding te verifiëren.
Veelgestelde vragen
Wat moet de onderwerpnaam van het certificaat zijn voor het nieuwe AD FS TLS/SSL-certificaat?
Microsoft Entra Verbinding maken controleert of de onderwerpnaam/alternatieve onderwerpnaam van het certificaat de naam van de federation-service bevat. Als de naam van de federatieservice bijvoorbeeld fs.contoso.com is, moet de onderwerpnaam/alternatieve onderwerpnaam fs.contoso.com zijn. Jokertekencertificaten worden ook geaccepteerd.
Waarom word ik opnieuw om aanmeldingsgegevens gevraagd op de pagina van de WAP-server?
Als de referenties die u opgeeft voor het maken van verbinding met AD FS-servers niet ook de bevoegdheid hebben om de WAP-servers te beheren, vraagt Microsoft Entra Verbinding maken om referenties met beheerdersbevoegdheden op de WAP-servers.
De server wordt weergegeven als offline. Wat moet ik doen?
Microsoft Entra Verbinding maken kan geen bewerkingen uitvoeren als de server offline is. Als de server deel uitmaakt van de AD FS-farm, controleert u de connectiviteit met de server. Nadat u het probleem hebt opgelost, drukt u op het vernieuwingspictogram om de status in de wizard bij te werken. Als de server eerder deel uitmaakt van de farm maar nu niet meer bestaat, klikt u op Verwijderen om deze te verwijderen uit de lijst met servers die Microsoft Entra Verbinding maken onderhoudt. Als u de server verwijdert uit de lijst in Microsoft Entra Verbinding maken de AD FS-configuratie zelf niet wijzigt. Als u AD FS gebruikt in Windows Server 2016 of hoger, blijft de server in de configuratie-instellingen en wordt deze opnieuw weergegeven wanneer de taak de volgende keer wordt uitgevoerd.
Kan ik een subset van mijn farmservers bijwerken met het nieuwe TLS/SSL-certificaat?
Ja. U kunt de taak SSL-certificaat bijwerken altijd opnieuw uitvoeren om de resterende servers bij te werken. Op de pagina Servers selecteren voor het bijwerken van SSL-certificaten kunt u de lijst met servers op SSL-vervaldatum sorteren om eenvoudig toegang te krijgen tot de servers die nog niet zijn bijgewerkt.
Ik heb de server in de vorige uitvoering verwijderd, maar deze wordt nog steeds weergegeven als offline en vermeld op de pagina AD FS-servers. Waarom is de offline server nog steeds aanwezig, zelfs nadat ik deze heb verwijderd?
Als u de server verwijdert uit de lijst in Microsoft Entra Verbinding maken wordt deze niet verwijderd in de AD FS-configuratie. Microsoft Entra Verbinding maken verwijst naar AD FS (Windows Server 2016 of hoger) voor informatie over de farm. Als de server nog steeds aanwezig is in de AD FS-configuratie, wordt deze weergegeven in de lijst.