Nödrotation av AD FS-certifikaten

Om du behöver rotera Active Directory Federation Services (AD FS)-certifikaten (AD FS) omedelbart kan du följa stegen i den här artikeln.

Viktigt!

När du roterar certifikat i AD FS-miljön återkallas de gamla certifikaten omedelbart och den tid det tar för federationspartner att använda det nya certifikatet kringgås. Åtgärden kan också resultera i ett tjänstavbrott när förtroenden uppdateras för att använda de nya certifikaten. Avbrottet bör lösas när alla federationspartner har de nya certifikaten.

Kommentar

Vi rekommenderar starkt att du använder en maskinvarusäkerhetsmodul (HSM) för att skydda och skydda certifikat. Mer information finns i avsnittet Maskinvarusäkerhetsmodul i metodtipsen för att skydda AD FS.

Fastställa tumavtryck för tokensigneringscertifikat

Om du vill återkalla det gamla tokensigneringscertifikatet som AD FS använder för närvarande måste du fastställa tumavtrycket för tokensigneringscertifikatet. Gör följande:

1. Anslut till Microsoft Online Service genom att köra i PowerShell Connect-MsolService.

2. Dokumentera både ditt lokala och molnbaserade tumavtryck för tokensigneringscertifikat och förfallodatum genom att köra Get-MsolFederationProperty -DomainName <domain>.

3. Kopiera ned tumavtrycket. Du använder det senare för att ta bort de befintliga certifikaten.

Du kan också hämta tumavtrycket med hjälp av AD FS Management. Gå till Tjänstcertifikat>, högerklicka på certifikatet, välj Visa certifikat och välj sedan Information.

Avgöra om AD FS förnyar certifikaten automatiskt

Som standard är AD FS konfigurerat för att generera tokensignerings- och tokendekrypteringscertifikat automatiskt. Det gör det både under den inledande konfigurationen och när certifikaten närmar sig sitt förfallodatum.

Du kan köra följande PowerShell-kommando: Get-AdfsProperties | FL AutoCert*, Certificate*.

Egenskapen AutoCertificateRollover beskriver om AD FS har konfigurerats för att förnya tokensignering och tokendekryptera certifikat automatiskt. Gör något av följande:

• Om AutoCertificateRollover är inställt på TRUEgenererar du ett nytt självsignerat certifikat.
• Om AutoCertificateRollover är inställt på FALSEgenererar du nya certifikat manuellt.

Om AutoCertificateRollover är inställt på TRUE genererar du ett nytt självsignerat certifikat

I det här avsnittet skapar du två tokensigneringscertifikat. Den första använder -urgent flaggan, som ersätter det aktuella primära certifikatet omedelbart. Den andra används för det sekundära certifikatet.

Viktigt!

Du skapar två certifikat eftersom Microsoft Entra-ID:t innehåller information om det tidigare certifikatet. Genom att skapa ett till tvingar du Microsoft Entra-ID:t att släppa information om det gamla certifikatet och ersätta det med information om det andra.

Om du inte skapar det andra certifikatet och uppdaterar Microsoft Entra-ID:t med det, kan det vara möjligt för det gamla tokensigneringscertifikatet att autentisera användare.

Om du vill generera de nya certifikaten för tokensignering gör du följande:

1. Kontrollera att du är inloggad på den primära AD FS-servern.

2. Öppna Windows PowerShell som administratör.

3. Kontrollera att AutoCertificateRollover är inställt på genom att True köra i PowerShell:

   Get-AdfsProperties | FL AutoCert*, Certificate*

4. Om du vill generera ett nytt certifikat för tokensignering kör du:

   Update-ADFSCertificate -CertificateType Token-Signing -Urgent

5. Verifiera uppdateringen genom att köra:

   Get-ADFSCertificate -CertificateType Token-Signing

6. Generera nu det andra tokensigneringscertifikatet genom att köra:

   Update-ADFSCertificate -CertificateType Token-Signing

7. Du kan verifiera uppdateringen genom att köra följande kommando igen:

   Get-ADFSCertificate -CertificateType Token-Signing

Om AutoCertificateRollover är inställt på FALSE genererar du nya certifikat manuellt

Om du inte använder standardcertifikaten för automatiskt genererad, självsignerad tokensignering och tokendekryptering måste du förnya och konfigurera dessa certifikat manuellt. Det innebär att skapa två nya tokensigneringscertifikat och importera dem. Sedan höjer du upp ett till primärt, återkallar det gamla certifikatet och konfigurerar det andra certifikatet som det sekundära certifikatet.

Först måste du skaffa två nya certifikat från certifikatutfärdare och importera dem till den lokala datorns personliga certifikatarkiv på varje federationsserver. Anvisningar finns i Importera ett certifikat.

Viktigt!

Du skapar två certifikat eftersom Microsoft Entra-ID:t innehåller information om det tidigare certifikatet. Genom att skapa ett till tvingar du Microsoft Entra-ID:t att släppa information om det gamla certifikatet och ersätta det med information om det andra.

Om du inte skapar det andra certifikatet och uppdaterar Microsoft Entra-ID:t med det, kan det vara möjligt för det gamla tokensigneringscertifikatet att autentisera användare.

Konfigurera ett nytt certifikat som ett sekundärt certifikat

Konfigurera sedan ett certifikat som det sekundära AD FS-tokensignerings- eller dekrypteringscertifikatet och flytta sedan upp det till det primära.

1. När du har importerat certifikatet öppnar du AD FS-hanteringskonsolen.

2. Expandera Tjänsten och välj sedan Certifikat.

3. I fönstret Åtgärder väljer du Lägg till tokensigneringscertifikat.

4. Välj det nya certifikatet i listan över visade certifikat och välj sedan OK.

Höj upp det nya certifikatet från sekundärt till primärt

Nu när du har importerat det nya certifikatet och konfigurerat det i AD FS måste du ange det som det primära certifikatet.

1. Öppna AD FS-hanteringskonsolen.

2. Expandera Tjänsten och välj sedan Certifikat.

3. Välj certifikatet för sekundär tokensignering.

4. I fönstret Åtgärder väljer du Ange som primär. I kommandotolken väljer du Ja.

5. När du har befordrat det nya certifikatet som primärt certifikat bör du ta bort det gamla certifikatet eftersom det fortfarande kan användas. Mer information finns i avsnittet Ta bort dina gamla certifikat .

Så här konfigurerar du det andra certifikatet som ett sekundärt certifikat

Nu när du har lagt till det första certifikatet, gjort det primärt och tagit bort det gamla, kan du importera det andra certifikatet. Konfigurera certifikatet som det sekundära AD FS-tokensigneringscertifikatet genom att göra följande:

1. När du har importerat certifikatet öppnar du AD FS-hanteringskonsolen.

2. Expandera Tjänsten och välj sedan Certifikat.

3. I fönstret Åtgärder väljer du Lägg till tokensigneringscertifikat.

4. Välj det nya certifikatet i listan över visade certifikat och välj sedan OK.

Uppdatera Microsoft Entra-ID med det nya tokensigneringscertifikatet

1. Öppna Azure AD PowerShell-modulen. Du kan också öppna Windows PowerShell och sedan köra Import-Module msonline kommandot.

2. Anslut till Microsoft Entra-ID genom att köra följande kommando:

   Connect-MsolService

3. Ange autentiseringsuppgifterna för hybrididentitetsadministratören.

   Kommentar

   Om du kör dessa kommandon på en dator som inte är den primära federationsservern anger du följande kommando först:

   Set-MsolADFSContext -Computer <servername>

   Ersätt <servernamn> med namnet på AD FS-servern och ange sedan administratörsautentiseringsuppgifterna för AD FS-servern i prompten.

4. Du kan också kontrollera om en uppdatering krävs genom att kontrollera den aktuella certifikatinformationen i Microsoft Entra-ID. Det gör du genom att köra följande kommando: Get-MsolFederationProperty. Ange namnet på den federerade domänen när du uppmanas att göra det.

5. Om du vill uppdatera certifikatinformationen i Microsoft Entra-ID kör du följande kommando: Update-MsolFederatedDomain och anger sedan domännamnet när du uppmanas att göra det.

   Kommentar

   Om du får ett felmeddelande när du kör det här kommandot kör Update-MsolFederatedDomain -SupportMultipleDomain du och anger domännamnet i kommandotolken.

Ersätt SSL-certifikat

Om du behöver ersätta ditt tokensigneringscertifikat på grund av en kompromiss bör du även återkalla och ersätta SSL-certifikaten (Secure Sockets Layer) för AD FS- och wap-servrar (Web Programproxy).

Återkalla dina SSL-certifikat måste göras på certifikatutfärdare (CA) som utfärdade certifikatet. Dessa certifikat utfärdas ofta av tredjepartsleverantörer, till exempel GoDaddy. Ett exempel finns i Återkalla ett certifikat | SSL-certifikat – GoDaddy Hjälp OSS. Mer information finns i Så här fungerar certifikatåterkallning.

När det gamla SSL-certifikatet har återkallats och ett nytt har utfärdats kan du ersätta SSL-certifikaten. Mer information finns i Ersätt SSL-certifikatet för AD FS.

Ta bort dina gamla certifikat

När du har ersatt dina gamla certifikat bör du ta bort det gamla certifikatet eftersom det fortfarande kan användas. Så här gör du:

1. Kontrollera att du är inloggad på den primära AD FS-servern.

2. Öppna Windows PowerShell som administratör.

3. Om du vill ta bort det gamla tokensigneringscertifikatet kör du:

   Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Uppdatera federationspartner som kan använda federationsmetadata

Om du har förnyat och konfigurerat ett nytt certifikat för tokensignering eller tokendekryptering måste du se till att alla dina federationspartner har hämtat de nya certifikaten. Den här listan innehåller resursorganisations- eller kontoorganisationspartner som representeras i AD FS av förlitande partförtroenden och anspråksproviderförtroenden.

Uppdatera federationspartner som inte kan använda federationsmetadata

Om dina federationspartner inte kan använda federationsmetadata måste du manuellt skicka den offentliga nyckeln för ditt nya certifikat för tokensignering/tokendekryptering. Skicka den nya offentliga certifikatnyckeln (.cer-filen eller .p7b om du vill inkludera hela kedjan) till alla partner i din resursorganisation eller kontoorganisation (representeras i AD FS av förlitande partförtroenden och anspråksproviderförtroenden). Låt partnerna implementera ändringar på sin sida för att lita på de nya certifikaten.

Återkalla uppdateringstoken via PowerShell

Nu vill du återkalla uppdateringstoken för användare som kan ha dem och tvinga dem att logga in igen och hämta nya token. Detta loggar ut användare från sina telefoner, aktuella webbmailsessioner och andra platser som använder token och uppdateringstoken. Mer information finns i Revoke-AzureADUserAllRefreshToken. Se även Återkalla användaråtkomst i Microsoft Entra-ID.

Kommentar

Azure AD- och MSOnline PowerShell-moduler är inaktuella från och med den 30 mars 2024. Mer information finns i utfasningsuppdateringen. Efter det här datumet är stödet för dessa moduler begränsat till migreringshjälp till Microsoft Graph PowerShell SDK och säkerhetskorrigeringar. De inaktuella modulerna fortsätter att fungera till och med mars 30 2025.

Vi rekommenderar att du migrerar till Microsoft Graph PowerShell för att interagera med Microsoft Entra-ID (tidigare Azure AD). Vanliga migreringsfrågor finns i Vanliga frågor och svar om migrering. Obs! Versioner 1.0.x av MSOnline kan uppleva störningar efter den 30 juni 2024.

Nästa steg

• Hantera SSL-certifikat i AD FS och WAP i Windows Server 2016
• Hämta och konfigurera certifikat för tokensignering och tokendekryptering för AD FS
• Förnya federationscertifikat för Microsoft 365- och Microsoft Entra-ID