AD FS sertifikalarının acil durum döndürmesi
Active Directory Federasyon Hizmetleri (AD FS) (AD FS) sertifikalarını hemen döndürmeniz gerekiyorsa, bu makaledeki adımları izleyebilirsiniz.
Önemli
AD FS ortamında sertifikaları döndürmek eski sertifikaları hemen iptal eder ve genellikle federasyon iş ortaklarınızın yeni sertifikanızı kullanmaları için gereken süre atlanır. Bu eylem, güvenler yeni sertifikaları kullanacak şekilde güncelleştirildikçe hizmet kesintisine de neden olabilir. Tüm federasyon ortakları yeni sertifikalara sahip olduktan sonra kesinti çözülmelidir.
Not
Sertifikaları korumak ve güvenliğini sağlamak için bir Donanım Güvenlik Modülü (HSM) kullanmanızı kesinlikle öneririz. Daha fazla bilgi için AD FS'nin güvenliğini sağlamaya yönelik en iyi yöntemlerin Donanım Güvenlik Modülü bölümüne bakın.
Belirteç İmzalama Sertifikanızın parmak izini belirleme
AD FS'nin şu anda kullandığı eski Belirteç İmzalama Sertifikasını iptal etmek için belirteç imzalama sertifikasının parmak izini belirlemeniz gerekir. Aşağıdakileri yapın:
PowerShell'de
Connect-MsolService
çalıştırarak Microsoft Online Service'e Bağlan.komutunu çalıştırarak
Get-MsolFederationProperty -DomainName <domain>
hem şirket içi hem de bulut Belirteç İmzalama Sertifikası parmak izinizi ve son kullanma tarihlerinizi belgele.Parmak izini aşağı kopyalayın. Daha sonra mevcut sertifikaları kaldırmak için kullanacaksınız.
Ad FS Yönetimi'ni kullanarak parmak izini de alabilirsiniz. Hizmet>Sertifikaları'na gidin, sertifikaya sağ tıklayın, Sertifikayı görüntüle'yi ve ardından Ayrıntılar'ı seçin.
AD FS'nin sertifikaları otomatik olarak yenileyip yenilemediğini belirleme
Varsayılan olarak, AD FS otomatik olarak belirteç imzalama ve belirteç şifre çözme sertifikaları oluşturacak şekilde yapılandırılır. Bunu hem ilk yapılandırma sırasında hem de sertifikalar son kullanma tarihlerine yaklaştığında yapar.
Şu PowerShell komutunu çalıştırabilirsiniz: Get-AdfsProperties | FL AutoCert*, Certificate*
.
özelliği, AutoCertificateRollover
AD FS'nin belirteç imzalama ve belirteç şifre çözme sertifikalarını otomatik olarak yenilemek için yapılandırılıp yapılandırılmadığını açıklar. Aşağıdakilerden birini yapın:
- olarak ayarlanırsa
AutoCertificateRollover
TRUE
, yeni bir otomatik olarak imzalanan sertifika oluşturun. - olarak ayarlanırsa
AutoCertificateRollover
FALSE
, el ile yeni sertifikalar oluşturun.
AutoCertificateRollover TRUE olarak ayarlandıysa, yeni bir otomatik olarak imzalanan sertifika oluşturun
Bu bölümde iki belirteç imzalama sertifikası oluşturacaksınız. İlki, geçerli birincil sertifikanın -urgent
hemen yerini alan bayrağını kullanır. İkincisi ikincil sertifika için kullanılır.
Önemli
Microsoft Entra Id önceki sertifika hakkındaki bilgileri içerdiğinden iki sertifika oluşturuyorsunuz. İkinci bir sertifika oluşturarak, Microsoft Entra Id'yi eski sertifika hakkındaki bilgileri serbest bırakmaya ve ikinci sertifikayla ilgili bilgilerle değiştirmenize neden olursunuz.
İkinci sertifikayı oluşturup Microsoft Entra Id'yi bu sertifikayla güncelleştirmezseniz, eski belirteç imzalama sertifikasının kullanıcıların kimliğini doğrulaması mümkün olabilir.
Yeni belirteç imzalama sertifikalarını oluşturmak için aşağıdakileri yapın:
Birincil AD FS sunucusunda oturum açtığınızdan emin olun.
Windows PowerShell'i yönetici olarak açın.
PowerShell'de çalıştırarak bunun olarak ayarlandığından
AutoCertificateRollover
True
emin olun:Get-AdfsProperties | FL AutoCert*, Certificate*
Yeni bir belirteç imzalama sertifikası oluşturmak için şunu çalıştırın:
Update-ADFSCertificate -CertificateType Token-Signing -Urgent
Aşağıdakini çalıştırarak güncelleştirmeyi doğrulayın:
Get-ADFSCertificate -CertificateType Token-Signing
Şimdi komutunu çalıştırarak ikinci belirteç imzalama sertifikasını oluşturun:
Update-ADFSCertificate -CertificateType Token-Signing
Aşağıdaki komutu yeniden çalıştırarak güncelleştirmeyi doğrulayabilirsiniz:
Get-ADFSCertificate -CertificateType Token-Signing
AutoCertificateRollover YANLIŞ olarak ayarlandıysa, el ile yeni sertifikalar oluşturun
Otomatik olarak oluşturulan varsayılan, otomatik olarak imzalanan belirteç imzalama ve belirteç şifre çözme sertifikalarını kullanmıyorsanız, bu sertifikaları el ile yenilemeniz ve yapılandırmanız gerekir. Bunu yapmak, iki yeni belirteç imzalama sertifikası oluşturmayı ve bunları içeri aktarmayı içerir. Ardından, birini birincil sertifikaya yükseltir, eski sertifikayı iptal eder ve ikinci sertifikayı ikincil sertifika olarak yapılandırabilirsiniz.
İlk olarak, sertifika yetkilinizden iki yeni sertifika almanız ve bunları her federasyon sunucusundaki yerel makine kişisel sertifika deposuna aktarmanız gerekir. Yönergeler için bkz . Sertifikayı içeri aktarma.
Önemli
Microsoft Entra Id önceki sertifika hakkındaki bilgileri içerdiğinden iki sertifika oluşturuyorsunuz. İkinci bir sertifika oluşturarak, Microsoft Entra Id'yi eski sertifika hakkındaki bilgileri serbest bırakmaya ve ikinci sertifikayla ilgili bilgilerle değiştirmenize neden olursunuz.
İkinci sertifikayı oluşturup Microsoft Entra Id'yi bu sertifikayla güncelleştirmezseniz, eski belirteç imzalama sertifikasının kullanıcıların kimliğini doğrulaması mümkün olabilir.
Yeni bir sertifikayı ikincil sertifika olarak yapılandırma
Ardından, bir sertifikayı ikincil AD FS belirteci imzalama veya şifre çözme sertifikası olarak yapılandırın ve ardından birincil sertifikaya yükseltin.
Sertifikayı içeri aktardıktan sonra AD FS Yönetim konsolunu açın.
Hizmet'i genişletin ve sertifikalar'ı seçin.
Eylemler bölmesinde Belirteç İmzalama Sertifikası Ekle'yi seçin.
Görüntülenen sertifikalar listesinden yeni sertifikayı seçin ve ardından Tamam'ı seçin.
Yeni sertifikayı ikincilden birincile yükseltme
Yeni sertifikayı içeri aktardığınıza ve AD FS'de yapılandırdığınıza göre, bunu birincil sertifika olarak ayarlamanız gerekir.
AD FS Yönetim konsolunu açın.
Hizmet'i genişletin ve sertifikalar'ı seçin.
İkincil belirteç imzalama sertifikasını seçin.
Eylemler bölmesinde Birincil Olarak Ayarla'yı seçin. İstemde Evet'i seçin.
Yeni sertifikayı birincil sertifika olarak yükseltdikten sonra, eski sertifikayı kaldırmanız gerekir çünkü hala kullanılabilir. Daha fazla bilgi için Eski sertifikalarınızı kaldırma bölümüne bakın.
İkinci sertifikayı ikincil sertifika olarak yapılandırmak için
İlk sertifikayı eklediğinize, birincil yaptığınıza ve eskisini kaldırdığınıza göre, ikinci sertifikayı içeri aktarabilirsiniz. Aşağıdakileri yaparak sertifikayı ikincil AD FS belirteç imzalama sertifikası olarak yapılandırın:
Sertifikayı içeri aktardıktan sonra AD FS Yönetim konsolunu açın.
Hizmet'i genişletin ve sertifikalar'ı seçin.
Eylemler bölmesinde Belirteç İmzalama Sertifikası Ekle'yi seçin.
Görüntülenen sertifikalar listesinden yeni sertifikayı seçin ve ardından Tamam'ı seçin.
Microsoft Entra Id'yi yeni belirteç imzalama sertifikasıyla güncelleştirme
Azure AD PowerShell modülünü açın. Alternatif olarak, Windows PowerShell'i açın ve komutunu çalıştırın
Import-Module msonline
.Aşağıdaki komutu çalıştırarak Microsoft Entra Id'ye Bağlan:
Connect-MsolService
Karma Kimlik Yönetici istrator kimlik bilgilerinizi girin.
Not
Bu komutları birincil federasyon sunucusu olmayan bir bilgisayarda çalıştırıyorsanız, önce aşağıdaki komutu girin:
Set-MsolADFSContext -Computer <servername>
sunucu adını> AD FS sunucusunun adıyla değiştirin <ve istemde AD FS sunucusunun yönetici kimlik bilgilerini girin.
İsteğe bağlı olarak, Microsoft Entra Id'deki geçerli sertifika bilgilerini denetleyerek bir güncelleştirmenin gerekli olup olmadığını doğrulayın. Bunu yapmak için şu komutu çalıştırın:
Get-MsolFederationProperty
. İstendiğinde Federasyon etki alanının adını girin.Microsoft Entra Id'deki sertifika bilgilerini güncelleştirmek için aşağıdaki komutu çalıştırın ve
Update-MsolFederatedDomain
istendiğinde etki alanı adını girin.Not
Bu komutu çalıştırdığınızda bir hata alırsanız komutunu çalıştırın
Update-MsolFederatedDomain -SupportMultipleDomain
ve isteminde etki alanı adını girin.
SSL sertifikalarını değiştirme
Risk nedeniyle belirteç imzalama sertifikanızı değiştirmeniz gerekiyorsa, AD FS ve Web Uygulama Ara Sunucusu (WAP) sunucularınız için Güvenli Yuva Katmanı (SSL) sertifikalarını da iptal edip değiştirmeniz gerekir.
SSL sertifikalarınızı iptal etme işlemi, sertifikayı veren sertifika yetkilisinde (CA) yapılmalıdır. Bu sertifikalar genellikle GoDaddy gibi üçüncü taraf sağlayıcılar tarafından verilir. Bir örnek için bkz. Sertifikayı iptal etme | SSL Sertifikaları - GoDaddy Bize Yardım Edin. Daha fazla bilgi için bkz . Sertifika iptali nasıl çalışır?
Eski SSL sertifikası iptal edildikten ve yeni bir sertifika verildikten sonra SSL sertifikalarını değiştirebilirsiniz. Daha fazla bilgi için bkz . AD FS için SSL sertifikasını değiştirme.
Eski sertifikalarınızı kaldırma
Eski sertifikalarınızı değiştirdikten sonra, hala kullanılabildiğinden eski sertifikayı kaldırmanız gerekir. Yapmak için:
Birincil AD FS sunucusunda oturum açtığınızdan emin olun.
Windows PowerShell'i yönetici olarak açın.
Eski belirteç imzalama sertifikasını kaldırmak için şunu çalıştırın:
Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>
Federasyon meta verilerini tüketebilen federasyon iş ortaklarını güncelleştirme
Yeni bir belirteç imzalama veya belirteç şifre çözme sertifikası yenileyip yapılandırdıysanız, tüm federasyon iş ortaklarınızın yeni sertifikaları aldıklarından emin olmanız gerekir. Bu liste, bağlı olan taraf güvenleri ve talep sağlayıcı güvenleri tarafından AD FS'de temsil edilen kaynak kuruluşu veya hesap kuruluşu iş ortaklarını içerir.
Federasyon meta verilerini tüketemeyen federasyon iş ortaklarını güncelleştirme
Federasyon iş ortaklarınız federasyon meta verilerinizi kullanamıyorsa, onlara yeni belirteç imzalama / belirteç şifre çözme sertifikanızın ortak anahtarını el ile göndermeniz gerekir. Yeni sertifika ortak anahtarınızı (zincirin tamamını dahil etmek istiyorsanız .cer dosya veya .p7b) tüm kaynak kuruluşunuza veya hesap kuruluşu iş ortaklarınıza (bağlı olan taraf güvenleri ve talep sağlayıcı güvenleri tarafından AD FS'nizde temsil edilir) gönderin. İş ortaklarının yeni sertifikalara güvenmek için kendi tarafında değişiklik gerçekleştirmesini sağlayın.
PowerShell aracılığıyla yenileme belirteçlerini iptal etme
Şimdi, sahip olabilecek kullanıcıların yenileme belirteçlerini iptal etmek ve yeniden oturum açıp yeni belirteçler almaya zorlamak istiyorsunuz. Bu, kullanıcıların telefonlarını, geçerli web postası oturumlarını ve belirteçleri ve yenileme belirteçlerini kullanan diğer yerleri günlüğe kaydeder. Daha fazla bilgi için bkz . Revoke-AzureADUserAllRefreshToken. Ayrıca bkz . Microsoft Entra Id'de kullanıcı erişimini iptal etme.
Not
Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.
Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.