Uppdatera TLS/SSL-certifikatet för en Active Directory Federation Services (AD FS) -servergrupp (AD FS)

  • Artikel

Översikt

Den här artikeln beskriver hur du kan använda Microsoft Entra Anslut för att uppdatera TLS/SSL-certifikatet för en Active Directory Federation Services (AD FS) -servergrupp (AD FS). Du kan använda verktyget Microsoft Entra Anslut för att enkelt uppdatera TLS/SSL-certifikatet för AD FS-servergruppen även om den användarinloggningsmetod som valts inte är AD FS.

Du kan utföra hela åtgärden med att uppdatera TLS/SSL-certifikatet för AD FS-servergruppen på alla wap-servrar (federations- och web Programproxy) i tre enkla steg:

Three steps

Kommentar

Mer information om certifikat som används av AD FS finns i Förstå certifikat som används av AD FS.

Förutsättningar

  • AD FS-servergrupp: Kontrollera att AD FS-servergruppen är Windows Server 2012 R2-baserad eller senare.
  • Microsoft Entra Anslut: Kontrollera att versionen av Microsoft Entra Anslut är 1.1.553.0 eller senare. Du använder uppgiften Uppdatera AD FS SSL-certifikat.

Update TLS task

Steg 1: Ange AD FS-servergruppsinformation

Microsoft Entra Anslut försöker hämta information om AD FS-servergruppen automatiskt genom att:

  1. Fråga servergruppens information från AD FS (Windows Server 2016 eller senare).
  2. Refererar till informationen från tidigare körningar, som lagras lokalt med Microsoft Entra Anslut.

Du kan ändra listan över servrar som visas genom att lägga till eller ta bort servrarna för att återspegla den aktuella konfigurationen för AD FS-servergruppen. Så snart serverinformationen har angetts visar Microsoft Entra Anslut anslutningen och den aktuella TLS/SSL-certifikatstatusen.

AD FS server info

Om listan innehåller en server som inte längre ingår i AD FS-servergruppen klickar du på Ta bort för att ta bort servern från listan över servrar i AD FS-servergruppen.

Offline server in list

Kommentar

Att ta bort en server från listan över servrar för en AD FS-servergrupp i Microsoft Entra Anslut är en lokal åtgärd och uppdaterar informationen för AD FS-servergruppen som Microsoft Entra Anslut underhåller lokalt. Microsoft Entra Anslut ändrar inte konfigurationen på AD FS för att återspegla ändringen.

Steg 2: Ange ett nytt TLS/SSL-certifikat

När du har bekräftat informationen om AD FS-servergruppen frågar Microsoft Entra Anslut efter det nya TLS/SSL-certifikatet. Ange ett lösenordsskyddat PFX-certifikat för att fortsätta installationen.

TLS/SSL certificate

När du har angett certifikatet går Microsoft Entra Anslut igenom en rad krav. Kontrollera certifikatet för att säkerställa att certifikatet är korrekt för AD FS-servergruppen:

  • Certifikatets ämnesnamn/alternativa ämnesnamn är antingen samma som federationstjänstens namn eller ett jokerteckencertifikat.
  • Certifikatet är giltigt i mer än 30 dagar.
  • Certifikatförtroendekedjan är giltig.
  • Certifikatet är lösenordsskyddat.

Steg 3: Välj servrar för uppdateringen

I nästa steg väljer du de servrar som behöver ha TLS/SSL-certifikatet uppdaterat. Servrar som är offline kan inte väljas för uppdateringen.

Select servers to update

När du har slutfört konfigurationen visar Microsoft Entra Anslut meddelandet som anger status för uppdateringen och ger ett alternativ för att verifiera AD FS-inloggningen.

Configuration complete

Vanliga frågor och svar om

  • Vad ska certifikatets ämnesnamn vara för det nya AD FS TLS/SSL-certifikatet?

    Microsoft Entra Anslut kontrollerar om certifikatets ämnesnamn/alternativa ämnesnamn innehåller federationstjänstens namn. Om federationstjänstens namn till exempel är fs.contoso.com måste ämnesnamnet/det alternativa ämnesnamnet vara fs.contoso.com. Jokerteckencertifikat accepteras också.

  • Varför uppmanas jag att ange autentiseringsuppgifter igen på WAP-serversidan?

    Om de autentiseringsuppgifter som du anger för att ansluta till AD FS-servrar inte också har behörighet att hantera WAP-servrarna ber Microsoft Entra Anslut om autentiseringsuppgifter som har administratörsbehörighet på WAP-servrarna.

  • Servern visas som offline. Vad ska jag göra?

    Microsoft Entra Anslut kan inte utföra någon åtgärd om servern är offline. Om servern är en del av AD FS-servergruppen kontrollerar du anslutningen till servern. När du har löst problemet trycker du på uppdateringsikonen för att uppdatera statusen i guiden. Om servern var en del av servergruppen tidigare men nu inte längre finns klickar du på Ta bort för att ta bort den från listan över servrar som Microsoft Entra Anslut underhåller. Om du tar bort servern från listan i Microsoft Entra Anslut ändras inte själva AD FS-konfigurationen. Om du använder AD FS i Windows Server 2016 eller senare finns servern kvar i konfigurationsinställningarna och visas igen nästa gång aktiviteten körs.

  • Kan jag uppdatera en delmängd av mina servergruppsservrar med det nya TLS/SSL-certifikatet?

    Ja. Du kan alltid köra uppgiften Uppdatera SSL-certifikatet igen för att uppdatera de återstående servrarna. På sidan Välj servrar för SSL-certifikatuppdatering kan du sortera listan över servrar efter SSL-förfallodatum för att enkelt komma åt de servrar som inte har uppdaterats ännu.

  • Jag tog bort servern i föregående körning, men den visas fortfarande som offline och visas på sidan AD FS-servrar. Varför finns offlineservern kvar även efter att jag har tagit bort den?

    Om du tar bort servern från listan i Microsoft Entra Anslut tas den inte bort i AD FS-konfigurationen. Microsoft Entra Anslut refererar till AD FS (Windows Server 2016 eller senare) för all information om servergruppen. Om servern fortfarande finns i AD FS-konfigurationen visas den i listan igen.

Nästa steg