Обновление сертификатов федерации для Microsoft 365 и Azure AD

Обзор

Для успешной федерации между Azure Active Directory (Azure AD) и службами федерации Active Directory (AD FS) сертификаты, используемые службами AD FS для подписывания маркеров безопасности в Azure AD, должны соответствовать параметрам, настроенным в Azure AD. Расхождение может привести к нарушению отношений доверия. Azure AD гарантирует, что эта информация синхронизируется при развертывании AD FS и прокси веб-приложения (для доступа к экстрасети).

Примечание

Эта статья содержит сведения об управлении сертификатами федерации. Информацию об экстренной смене см. в статье Экстренная смена сертификатов AD FS.

В этой статье представлены дополнительные сведения об управлении сертификатами для подписи маркеров и их синхронизации с Azure AD в следующих случаях:

  • Вы не развертываете прокси веб-приложения, поэтому метаданные федерации недоступны в экстрасети.
  • Вы не применяете стандартную конфигурацию AD FS к сертификатам для подписи маркеров.
  • Вы используете сторонний поставщик удостоверений.

Важно!

Корпорация Майкрософт настоятельно рекомендует использовать аппаратный модуль безопасности (HSM) для защиты и обеспечения безопасности сертификатов. Дополнительные сведения см. в разделе Аппаратный модуль безопасности в рекомендациях по обеспечению безопасности AD FS.

Стандартная конфигурация AD FS для сертификатов для подписи маркеров

Сертификаты для подписи маркеров и их расшифровки обычно представляют собой самозаверяющие сертификаты со сроком годности в один год. По умолчанию AD FS предусматривает процесс автоматического возобновления действия, который называется AutoCertificateRollover. Если вы используете AD FS 2.0 или более поздней версии, службы Microsoft 365 и Azure AD автоматически обновят ваш сертификат до окончания срока его действия.

Информирование о возобновлении действия на портале Microsoft 365 или по электронной почте

Примечание

Если вы получите через портал или по электронной почте уведомление о том, что необходимо возобновить действие сертификата для Office, см. раздел об управлении изменениями в сертификатах для подписи маркеров. Так вы сможете узнать, нужно ли предпринимать какие-либо действия. Корпорации Майкрософт известно о потенциальной проблеме, в результате которой могут отправляться уведомления о возобновлении действия сертификата, даже если никаких действий не требуется.

Azure AD пытается отслеживать метаданные федерации и обновлять сертификаты для подписи маркеров, как указано в этих метаданных. За 30 дней до истечения срока действия сертификатов для подписи маркеров Azure AD проверит, доступны ли новые сертификаты, путем опроса метаданных федерации.

  • Если метаданные федерации успешно опрошены и получены новые сертификаты, пользователю не будет отправлено уведомление по электронной почте или предупреждение в центре администрирования Microsoft 365.
  • Если новые сертификаты для подписи маркера не удалось получить, потому что метаданные федерации недоступны или автоматическая смена сертификатов не включена, Azure AD отправит соответствующее уведомление по электронной почте, а в центре администрирования Microsoft 365 отобразится предупреждение.

Уведомление на портале Office 365

Важно!

Чтобы обеспечить непрерывность бизнес-процессов при использовании AD FS, проверьте, установлены ли на ваших серверах следующие обновления, предотвращающие ошибки проверки подлинности при известных проблемах. Это позволит устранить известные проблемы с прокси-сервером AD FS при текущем и последующем возобновлении действия сертификатов.

Server 2012 R2 — Накопительный пакет обновления от мая 2014 г. для Windows RT 8.1, Windows 8.1 и Windows Server 2012 R2.

Server 2008 R2 и 2012 — Authentication through proxy fails in Windows Server 2012 or Windows Server 2008 R2 SP1

Проверка необходимости в обновлении сертификатов

Шаг 1. Проверка состояния свойства AutoCertificateRollover

На сервере AD FS откройте PowerShell. Удостоверьтесь, что для AutoCertificateRollover задано значение True.

Get-Adfsproperties

AutoCertificateRollover

Примечание

При использовании AD FS 2.0 необходимо сначала выполнить команду Add-Pssnapin Microsoft.Adfs.Powershell.

Шаг 2. Убедитесь, что службы AD FS и Azure AD синхронизированы

На сервере AD FS откройте командную строку MSOnline PowerShell и подключитесь к Azure AD.

Примечание

Командлеты MSOL являются частью модуля MSOnline PowerShell. Модуль MSOnline PowerShell можно загрузить непосредственно из коллекции PowerShell.

Install-Module MSOnline

Подключитесь к Azure AD с помощью модуля PowerShell MSOnline.

Import-Module MSOnline
Connect-MsolService

Проверьте сертификаты, настроенные в AD FS, и свойства доверия Azure AD для указанного домена.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Если отпечатки в обоих наборах выходных данных совпадают, значит, сертификаты синхронизируются с Azure AD.

Шаг 3. Проверьте, не истекает ли срок действия сертификата

В выходных данных Get-MsolFederationProperty или Get-AdfsCertificate проверьте дату, указанную после строки Not After. Если эта дата наступает менее чем через 30 дней, следует принять меры.

AutoCertificateRollover Сертификаты синхронизированы с Azure AD Метаданные федерации общедоступны Срок действия Действие
Да Да Да - Никаких действий не требуется. См. раздел Автоматическое возобновление действия сертификата для подписи маркера.
Да Нет - Менее 15 дней Обновите немедленно. См. раздел Возобновление действия сертификата для подписи маркера вручную.
Нет - - Менее 30 дней Обновите немедленно. См. раздел Возобновление действия сертификата для подписи маркера вручную.

[-] — не имеет значения

Если приведенные ниже условия выполняются, ничего не нужно делать вручную.

  • Вы развернули прокси веб-приложения, предоставляющий доступ к метаданным федерации из экстрасети.
  • Вы используете стандартную конфигурацию AD FS (свойство AutoCertificateRollover включено).

Проверьте следующие пункты, чтобы удостовериться, что действие сертификата может обновляться автоматически.

1. Для свойства AutoCertificateRollover служб AD FS должно быть задано значение True. Это указывает на то, что службы AD FS будут автоматически создавать сертификаты для подписи маркеров и их расшифровки до окончания срока действия старых.

2. Метаданные федерации AD FS общедоступны. Убедитесь, что метаданные федерации доступны для общего пользования через Интернет (за пределами корпоративной сети), перейдя со своего компьютера по следующему URL-адресу.

https://(ваше_имя_FS)/federationmetadata/2007-06/federationmetadata.xml

где (your_FS_name) заменяется именем узла службы федерации, которое используется в вашей организации (например, fs.contoso.com). Если проверка двух этих параметров оказалась успешной, вам больше не нужно ничего делать.

Например, https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml.

Возобновление действия сертификата для подписи маркера вручную

Сертификаты для подписи маркеров можно обновить вручную. Например, в следующих сценариях лучше выполнять ручное обновление.

  • Сертификаты для подписи маркеров не являются самозаверяющими. Вероятнее всего, это происходит потому, что ваша организация использует сертификаты AD FS, зарегистрированные в центре сертификации организации.
  • В системе безопасности сети запрещен общий доступ к метаданным федерации.

В этих ситуациях при каждом обновлении сертификатов для подписи маркеров также необходимо обновить домен Microsoft 365 с помощью команды PowerShell Update-MsolFederatedDomain.

Шаг 1. Убедитесь, что в службах AD FS используются новые сертификаты для подписи маркеров

Нестандартная конфигурация

Если применяется нестандартная конфигурация AD FS (где значение свойства AutoCertificateRollover равно False), вероятно, вы используете настраиваемые (не самозаверяющие) сертификаты. Дополнительные сведения об обновлении сертификатов для подписи маркеров AD FS см. в статье Требования к сертификатам для федеративных серверов.

Метаданные федерации не являются общедоступными

С другой стороны, если значение свойства AutoCertificateRollover равно True, но метаданные федерации не являются общедоступными, сначала удостоверьтесь, что сертификаты для подписи маркеров созданы службами AD FS. Чтобы убедиться, что у вас есть новые сертификаты для подписи маркеров, сделайте следующее:

  1. Удостоверьтесь, что вы вошли на основной сервер AD FS.

  2. Проверьте текущие сертификаты подписи в AD FS, открыв командное окно PowerShell и выполнив следующую команду.

    PS C:>Get-ADFSCertificate –CertificateType token-signing

    Примечание

    При использовании AD FS 2.0 необходимо сначала выполнить команду Add-Pssnapin Microsoft.Adfs.Powershell.

  3. Просмотрите данные, которые будут выведены для всех сертификатов в списке. Если служба AD FS создала сертификат, вы увидите два сертификата в выходных данных: один, для которого значение IsPrimary равно True, а дата NotAfter равна 5 дней; второй, для которого значение IsPrimary равно False, а дата NotAfter равна приблизительно году.

  4. Если вы видите только один сертификат, а дата NotAfter равна 5 дням, необходимо создать сертификат.

  5. Чтобы создать сертификат, в командной строке PowerShell выполните такую команду: PS C:\Update-ADFSCertificate –CertificateType token-signing.

  6. Проверьте обновление, запустив следующую команду еще раз: PS C:>Get-ADFSCertificate –CertificateType token-signing

Теперь должны появиться два сертификата, один из которых имеет дату NotAfter, равную приблизительно году, и у которого значение параметра IsPrimary равно False.

Шаг 2. Обновление новых сертификатов для подписи маркеров для использования в отношениях доверия Microsoft 365

Выполните описанные ниже действия, чтобы добавить в Microsoft 365 новые сертификаты для подписи маркеров, которые будут использоваться в отношениях доверия.

  1. Откройте модуль Microsoft Azure Active Directory для Windows PowerShell.
  2. Запустите $cred=Get-Credential. Если этот командлет запрашивает учетные данные, введите данные учетной записи администратора облачных служб.
  3. Выполните командлет Connect-MsolService -Credential $cred. Он предназначен для подключения к облачной службе. Перед выполнением любых дополнительных командлетов, установленных с помощью средства, необходимо создать контекст, который подключит вас к облачной службе.
  4. Если эти команды выполняются на компьютере, который не является основным сервером федерации AD FS, выполните команду Set-MSOLAdfscontext -Computer <основной сервер AD FS>, где <основной сервер AD FS> — это внутреннее полное доменное имя основного сервера AD FS. Этот командлет создает контекст, подключающий вас к AD FS.
  5. Выполните Update-MSOLFederatedDomain –DomainName <домен>. Этот командлет обновляет параметры AD FS в облачной службе и настраивает отношения доверия между ними.

Примечание

При необходимости поддержки нескольких доменов верхнего уровня, например contoso.com и fabrikam.com, требуется использовать параметр SupportMultipleDomain с любым командлетом. Дополнительные сведения см. в статье Поддержка нескольких доменов для федерации с Azure AD.

Восстановление доверия Azure AD с помощью Azure AD Connect

Если вы настроили ферму AD FS и доверие Azure AD, используя Azure AD Connect, то с помощью Azure AD Connect можно определить, нужно ли выполнять какие-либо действия с сертификатами для подписи маркеров. Если требуется обновить сертификаты, используйте Azure AD Connect.

Дополнительные сведения см. в разделе Восстановление доверия.

Действия по обновлению сертификата в AD FS и Azure AD

Сертификаты для подписи маркеров — это стандартные сертификаты X509, которые используются для безопасного подписания всех маркеров, издаваемых сервером федерации. Сертификаты для расшифровки маркеров — это стандартные сертификаты X509, которые используются для расшифровки любых входящих маркеров.

По умолчанию в AD FS автоматически создаются сертификаты для подписи и расшифровки маркеров, когда выполняется начальная настройка и приближается дата окончания срока действия.

За 30 дней до истечения срока действия текущего сертификата в Azure AD выполняется попытка получить новый сертификат из метаданных службы федерации. Если новый сертификат в этот момент недоступен, Azure AD будет постоянно отслеживать метаданные с интервалом в сутки. Когда новый сертификат станет доступен в метаданных, параметры федерации домена обновятся с учетом данных нового сертификата. Вы можете воспользоваться командой Get-MsolDomainFederationSettings, чтобы проверить наличие нового сертификата в NextSigningCertificate / SigningCertificate.

Дополнительные сведения о сертификатах для подписи маркеров в AD FS см. в статье Obtain and Configure TS and TD Certificates for AD FS (Получение и настройка сертификатов для подписи и расшифровки маркеров для AD FS).