Обновление TLS- и SSL-сертификатов для фермы службы федерации Active Directory (AD FS)

  • Статья

Обзор

В этой статье описывается, как использовать Microsoft Entra Подключение для обновления TLS/SSL-сертификата для фермы службы федерации Active Directory (AD FS) (AD FS). С помощью средства Microsoft Entra Подключение можно легко обновить TLS/SSL-сертификат для фермы AD FS, даже если выбранный метод входа пользователя не является AD FS.

Операцию обновления TLS- или SSL-сертификата для фермы AD FS во всей федерации и на серверах прокси-службы веб-приложения (WAP) можно полностью выполнить за три простых шага.

Three steps

Примечание.

Дополнительные сведения о сертификатах, используемых службами AD FS, см. в статье Общее представление о сертификатах, используемых службами федерации Active Directory.

Необходимые компоненты

  • Ферма AD FS. Убедитесь, что ферма AD FS работает под управлением Windows Server 2012 R2 или более поздней версии.
  • Microsoft Entra Подключение. Убедитесь, что версия Microsoft Entra Подключение — 1.1.553.0 или более поздней. Вы используете задачу Обновление SSL-сертификата AD FS.

Update TLS task

Шаг 1. Предоставление сведений о ферме AD FS

Microsoft Entra Подключение пытается автоматически получить сведения о ферме AD FS:

  1. Запросив сведения о ферме из AD FS (Windows Server 2016 или более поздней версии).
  2. Ссылка на сведения из предыдущих запусков, которые хранятся локально с помощью Microsoft Entra Подключение.

Отображаемый список серверов можно изменить путем добавления или изменения серверов в соответствии с текущей конфигурацией фермы AD FS. После предоставления сведений о сервере Microsoft Entra Подключение отображает состояние подключения и текущего tls/SSL-сертификата.

AD FS server info

Если в списке содержится сервер, который больше не является частью фермы AD FS, щелкните Удалить, чтобы удалить его из списка серверов в ферме AD FS.

Offline server in list

Примечание.

Удаление сервера из списка серверов для фермы AD FS в Microsoft Entra Подключение является локальной операцией и обновляет сведения для фермы AD FS, которую microsoft Entra Подключение поддерживает локально. Microsoft Entra Подключение не изменяет конфигурацию в AD FS, чтобы отразить это изменение.

Шаг 2. Указание нового сертификата TLS или SSL

После подтверждения сведений о серверах фермы AD FS Microsoft Entra Подключение запрашивает новый TLS/SSL-сертификат. Чтобы продолжить установку, укажите защищенный паролем PFX-сертификат.

TLS/SSL certificate

После предоставления сертификата Microsoft Entra Подключение пройти ряд предварительных требований. Проверьте, что указан правильный сертификат для фермы AD FS.

  • Имя субъекта или альтернативное имя субъекта сертификата совпадает с именем службы федерации или является именем группового сертификата.
  • Сертификат действителен в течение более чем 30 дней.
  • Цепь доверия сертификатов является допустимой.
  • Сертификат защищен паролем.

Шаг 3. Выбор серверов для обновления

На следующем шаге выберите серверы, для которых необходимо обновить сертификат. Серверы, которые находятся в автономном режиме, выбирать нельзя.

Select servers to update

После завершения настройки Microsoft Entra Подключение отображает сообщение, указывающее состояние обновления и предоставляющее возможность проверить вход AD FS.

Configuration complete

Вопросы и ответы по

  • Что должно собой представлять имя субъекта сертификата для нового TLS- или SSL-сертификата AD FS?

    Microsoft Entra Подключение проверка, если имя субъекта или альтернативное имя субъекта сертификата содержит имя службы федерации. Например, если имя службы федерации — fs.contoso.com, именем субъекта или альтернативным именем субъекта должно быть fs.contoso.com. Поддерживаются также групповые сертификаты.

  • Почему на странице сервера WAP появляется повторный запрос на ввод учетных данных?

    Если учетные данные, предоставляемые для подключения к серверам AD FS, также не имеют привилегий для управления серверами WAP, Microsoft Entra Подключение запрашивает учетные данные, имеющие права администратора на серверах WAP.

  • Сервер находится в автономном режиме. Что делать?

    Microsoft Entra Подключение не может выполнять никаких операций, если сервер находится в автономном режиме. Если сервер является частью фермы AD FS, проверьте подключение к нему. Устранив проблему, щелкните значок обновления, чтобы изменить состояние в мастере. Если сервер был частью фермы, но теперь больше не существует, нажмите кнопку "Удалить", чтобы удалить ее из списка серверов, которые поддерживает Microsoft Entra Подключение. Удаление сервера из списка в Microsoft Entra Подключение не изменяет саму конфигурацию AD FS. При использовании AD FS в Windows Server 2016 или более поздней версии сервер останется в параметрах конфигурации и отобразится при следующем запуске задачи.

  • Можно ли обновить подмножество серверов фермы с помощью нового TLS- или SSL-сертификата?

    Да. Задачу Обновить SSL-сертификат можно запускать повторно, чтобы обновить оставшиеся серверы. На странице Выберите серверы, на которых нужно обновить SSL-сертификат можно отсортировать список серверов на странице Срок действия SSL, чтобы без труда обращаться к серверам, которые пока не обновлены.

  • Сервер был удален во время предыдущего запуска, но он по-прежнему отображается как находящийся вне сети и указан на странице серверов AD FS. Почему этот автономный сервер по-прежнему существует даже после удаления?

    Удаление сервера из списка в Microsoft Entra Подключение не удаляет его в конфигурации AD FS. Microsoft Entra Подключение ссылается на AD FS (Windows Server 2016 или более поздней версии) для получения сведений о ферме. Если сервер по-прежнему присутствует в конфигурации AD FS, он будет указан в списке.

Следующие шаги