Förnya federationscertifikat för Microsoft 365 och Azure Active Directory

Översikt

För lyckad federation mellan Azure Active Directory (Azure AD) och Active Directory Federation Services (AD FS) (AD FS) bör de certifikat som används av AD FS för att signera säkerhetstoken till Azure AD matcha det som har konfigurerats i Azure AD. Eventuella matchningsfel kan leda till brutet förtroende. Azure AD ser till att den här informationen synkroniseras när du distribuerar AD FS och Programproxy (för åtkomst till extranät).

Anteckning

Den här artikeln innehåller information om hur du beter dina federationskategorier. Information om infromation vid nödrotation finns i Emergency Rotation of the AD FS certificates (Nödrotation av AD FS certifikat

Den här artikeln innehåller ytterligare information för att hantera certifikat för tokensignering och synkronisera dem med Azure AD i följande fall:

  • Du distribuerar inte webbappen Programproxy och därför är federationsmetadata inte tillgängliga i extranätet.
  • Du använder inte standardkonfigurationen för certifikat AD FS för certifikat för tokensignering.
  • Du använder en identitetsprovider från tredje part.

Viktigt

Microsoft rekommenderar starkt att du använder en maskinvarusäkerhetsmodul (HSM) för att skydda certifikat. Mer information finns i Maskinvarusäkerhetsmodul under metodtips för att skydda AD FS.

Standardkonfiguration för AD FS certifikat för tokensignering

Certifikaten för tokensignering och tokendekryptering är vanligtvis självsignerade certifikat och är bra i ett år. Som standard AD FS en process för automatisk förnyelse som kallas AutoCertificateRollover. Om du använder AD FS 2.0 eller senare uppdaterar Microsoft 365 Azure AD automatiskt certifikatet innan det upphör att gälla.

Förnyelsemeddelande från Administrationscenter för Microsoft 365 e-post

Anteckning

Om du har fått ett e-postmeddelande eller ett portalmeddelande där du uppmanas att förnya certifikatet för Office kan du läsa Hantera ändringar i certifikat för tokensignering för att kontrollera om du behöver vidta några åtgärder. Microsoft är medveten om ett möjligt problem som kan leda till att meddelanden om certifikatförnyelse skickas, även om ingen åtgärd krävs.

Azure AD försöker övervaka federationsmetadata och uppdatera certifikaten för tokensignering enligt dessa metadata. 30 dagar innan tokensigneringscertifikaten upphör att gälla kontrollerar Azure AD om nya certifikat är tillgängliga genom att avssöka federationsmetadata.

  • Om federationsmetadata kan avsöks och de nya certifikaten hämtas, utfärdas ingen e-postavisering eller varning i Administrationscenter för Microsoft 365 skickas till användaren.
  • Om det inte kan hämta de nya certifikaten för tokensignering, antingen eftersom federationsmetadata inte kan nås eller automatisk certifikatsrover inte är aktiverat, utfärdar Azure AD ett e-postmeddelande och en varning i Administrationscenter för Microsoft 365.

Meddelande i Office 365-portalen

Viktigt

Om du använder AD FS för att säkerställa affärskontinuisering kontrollerar du att servrarna har följande uppdateringar så att autentiseringsfel för kända problem inte inträffar. Detta minskar kända AD FS proxyserverproblem för den här förnyelsen och framtida förnyelseperioder:

Server 2012 R2 – Sammanslagning av Windows Server maj 2014

Server 2008 R2 och 2012 – Autentisering via proxy misslyckas i Windows Server 2012 eller Windows 2008 R2 SP1

Kontrollera om certifikaten behöver uppdateras

Steg 1: Kontrollera tillståndet AutoCertificateRollover

Öppna PowerShell AD FS din server. Kontrollera att värdet för AutoCertificateRollover är inställt på Sant.

Get-Adfsproperties

AutoCertificateRollover

Anteckning

Om du använder AD FS 2.0 kör du först Add-Pssnapin Microsoft.Adfs.Powershell.

Steg 2: Kontrollera AD FS och Azure AD är synkroniserade

Öppna MSOnline PowerShell-prompten på din AD FS server och anslut till Azure AD.

Anteckning

MSOL-Cmdlets ingår i MSOnline PowerShell-modulen. Du kan ladda ned MSOnline PowerShell-modulen direkt från PowerShell-galleriet.

Install-Module MSOnline

Anslut till Azure AD med MSOnline PowerShell-Module.

Import-Module MSOnline
Connect-MsolService

Kontrollera de certifikat som konfigurerats i AD FS och Azure AD-förtroendeegenskaper för den angivna domänen.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Om tumavtrycken i båda utdata matchar synkroniseras dina certifikat med Azure AD.

Steg 3: Kontrollera om certifikatet snart upphör att gälla

I utdata från antingen Get-MsolFederationProperty eller Get-AdfsCertificate kontrollerar du datumet under "Inte efter". Om datumet är mindre än 30 dagar bort bör du vidta åtgärder.

AutoCertificateRollover Certifikat synkroniserade med Azure AD Federationsmetadata är offentligt tillgängliga Giltighet Action
Ja Ja Ja - Det behövs ingen åtgärd. Se Förnya certifikat för tokensignering automatiskt.
Ja Inga - Mindre än 15 dagar Förnya omedelbart. Se Förnya certifikat för tokensignering manuellt.
No - - Mindre än 30 dagar Förnya omedelbart. Se Förnya certifikat för tokensignering manuellt.

[-] Spelar ingen roll

Du behöver inte utföra några manuella steg om båda följande stämmer:

  • Du har distribuerat Programproxy, vilket kan ge åtkomst till federationsmetadata från extranätet.
  • Du använder AD FS standardkonfigurationen (AutoCertificateRollover är aktiverat).

Kontrollera följande för att bekräfta att certifikatet kan uppdateras automatiskt.

1. Egenskapen AD FS AutoCertificateRollover måste vara inställd på Sant. Detta anger att AD FS automatiskt genererar nya certifikat för tokensignering och tokendekryptering innan de gamla upphör att gälla.

2. AD FS federationsmetadata är offentligt tillgängliga. Kontrollera att federationsmetadata är offentligt tillgängliga genom att gå till följande URL från en dator på det offentliga Internet (utanför företagsnätverket):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

där (your_FS_name) ersätts med federationstjänstens värdnamn som din organisation använder, till exempel fs.contoso.com. Om du kan verifiera båda dessa inställningar behöver du inte göra något annat.

Exempel: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Förnya certifikatet för tokensignering manuellt

Du kan välja att förnya certifikaten för tokensignering manuellt. Följande scenarier kan till exempel fungera bättre för manuell förnyelse:

  • Certifikat för tokensignering är inte självsignerade certifikat. Den vanligaste orsaken till detta är att din organisation hanterar AD FS certifikat som registrerats från en organisations certifikatutfärdare.
  • Nätverkssäkerhet tillåter inte att federationsmetadata blir offentligt tillgängliga.

I dessa scenarier måste du varje gång du uppdaterar certifikaten för tokensignering även uppdatera din Microsoft 365-domän med hjälp av PowerShell-kommandot Update-MsolFederatedDomain.

Steg 1: Kontrollera att AD FS har nya certifikat för tokensignering

Konfiguration som inte är standard

Om du använder en icke-standardkonfiguration av AD FS (där AutoCertificateRollover har angetts till False) använder du förmodligen anpassade certifikat (inte själv signerade). Mer information om hur du förnyar certifikat AD FS certifikat för tokensignering finns i Certifikatkrav för federerade servrar.

Federationsmetadata är inte offentligt tillgängliga

Å andra sidan, om AutoCertificateRollover har angetts till True, men dina federationsmetadata inte är offentligt tillgängliga, kontrollerar du först att nya certifikat för tokensignering har genererats av AD FS. Bekräfta att du har nya certifikat för tokensignering genom att göra följande:

  1. Kontrollera att du är inloggad på den primära AD FS servern.

  2. Kontrollera de aktuella signeringscertifikaten AD FS genom att öppna ett PowerShell-kommandofönster och köra följande kommando:

    PS C: > Get-ADFSCertificate –CertificateType token-signing

    Anteckning

    Om du använder AD FS 2.0 bör du köra Add-Pssnapin Microsoft.Adfs.Powershell först.

  3. Titta på kommandoutdata för alla certifikat som visas. Om AD FS har genererat ett nytt certifikat bör du se två certifikat i utdata: ett där IsPrimary-värdet är True och NotAfter-datumet är inom 5 dagar och ett för vilket IsPrimary är False och NotAfter är ungefär ett år i framtiden.

  4. Om du bara ser ett certifikat och NotAfter-datumet är inom 5 dagar måste du generera ett nytt certifikat.

  5. Generera ett nytt certifikat genom att köra följande kommando i en PowerShell-kommandotolk: PS C:\Update-ADFSCertificate –CertificateType token-signing .

  6. Kontrollera uppdateringen genom att köra följande kommando igen: PS C: > Get-ADFSCertificate –CertificateType token-signing

Två certifikat bör nu visas, varav ett har ett NotAfter-datum på ungefär ett år i framtiden och för vilket IsPrimary-värdet är False.

Steg 2: Uppdatera de nya certifikaten för tokensignering för Microsoft 365 förtroende

Uppdatera Microsoft 365 med de nya certifikaten för tokensignering som ska användas för förtroendet enligt följande.

  1. Öppna Microsoft Azure Active Directory-modul för Windows PowerShell.
  2. Kör $cred=Get-Credential. När den här cmdleten frågar efter autentiseringsuppgifter anger du autentiseringsuppgifterna för ditt molntjänstadministratörskonto.
  3. Kör Connect-MsolService – $cred. Den här cmdleten ansluter dig till molntjänsten. Du måste skapa en kontext som ansluter dig till molntjänsten innan du kör någon av de ytterligare cmdletarna som installeras av verktyget.
  4. Om du kör dessa kommandon på en dator som inte är den primära AD FS-federationsservern kör du Set-MSOLAdfscontext -Computer AD FS primary server , där AD FS primär server är det interna FQDN-namnet för den < > primära < > AD FS-servern. Den här cmdleten skapar en kontext som ansluter dig till AD FS.
  5. Kör Update-MSOLFederatedDomain –DomainName < domän > . Denna cmdlet uppdaterar inställningarna från AD FS till molntjänsten och konfigurerar förtroenderelationen mellan de två.

Anteckning

Om du behöver stöd för flera toppnivådomäner, till exempel contoso.com och fabrikam.com, måste du använda växeln SupportMultipleDomain med alla cmdlets. Mer information finns i Stöd för flera toppnivådomäner.

Reparera Azure AD-förtroende med hjälp av Azure AD Connect

Om du har konfigurerat din AD FS-servergrupp och Azure AD-förtroende med hjälp av Azure AD Connect kan du använda Azure AD Connect för att identifiera om du behöver vidta några åtgärder för dina certifikat för tokensignering. Om du behöver förnya certifikaten kan du använda Azure AD Connect för att göra det.

Mer information finns i Reparera förtroendet.

AD FS och Azure AD-certifikatuppdateringssteg

Certifikat för tokensignering är X509-standardcertifikat som används för att på ett säkert sätt signera alla token som federationsservern utfärdar. Certifikat för tokendekryptering är X509-standardcertifikat som används för att dekryptera inkommande token.

Som standard konfigureras AD FS att generera certifikat för tokensignering och tokendekryptering automatiskt, både vid den första konfigurationstiden och när certifikaten närmar sig förfallodatumet.

Azure AD försöker hämta ett nytt certifikat från federationstjänstens metadata 30 dagar innan det aktuella certifikatet upphör att gälla. Om ett nytt certifikat inte är tillgängligt vid den tidpunkten fortsätter Azure AD att övervaka metadata med regelbundna dagliga intervall. Så snart det nya certifikatet är tillgängligt i metadata uppdateras federationsinställningarna för domänen med den nya certifikatinformationen. Du kan använda för att kontrollera om du ser det nya certifikatet i Get-MsolDomainFederationSettings NextSigningCertificate/SigningCertificate.

Mer information om certifikat för tokensignering i AD FS finns i Skaffa och konfigurera certifikat för tokensignering och tokendekryptering för AD FS