AD FS sertifikalarının acil durum döndürmesi

Active Directory Federasyon Hizmetleri (AD FS) (AD FS) sertifikalarını hemen döndürmeniz gerekiyorsa, bu makaledeki adımları izleyebilirsiniz.

Önemli

AD FS ortamında sertifikaları döndürmek eski sertifikaları hemen iptal eder ve genellikle federasyon iş ortaklarınızın yeni sertifikanızı kullanmaları için gereken süre atlanır. Bu eylem, güvenler yeni sertifikaları kullanacak şekilde güncelleştirildikçe hizmet kesintisine de neden olabilir. Tüm federasyon ortakları yeni sertifikalara sahip olduktan sonra kesinti çözülmelidir.

Not

Sertifikaları korumak ve güvenliğini sağlamak için bir Donanım Güvenlik Modülü (HSM) kullanmanızı kesinlikle öneririz. Daha fazla bilgi için AD FS'nin güvenliğini sağlamaya yönelik en iyi yöntemlerin Donanım Güvenlik Modülü bölümüne bakın.

Belirteç İmzalama Sertifikanızın parmak izini belirleme

AD FS'nin şu anda kullandığı eski Belirteç İmzalama Sertifikasını iptal etmek için belirteç imzalama sertifikasının parmak izini belirlemeniz gerekir. Aşağıdakileri yapın:

1. PowerShell'de Connect-MsolServiceçalıştırarak Microsoft Online Service'e Bağlan.

2. komutunu çalıştırarak Get-MsolFederationProperty -DomainName <domain>hem şirket içi hem de bulut Belirteç İmzalama Sertifikası parmak izinizi ve son kullanma tarihlerinizi belgele.

3. Parmak izini aşağı kopyalayın. Daha sonra mevcut sertifikaları kaldırmak için kullanacaksınız.

Ad FS Yönetimi'ni kullanarak parmak izini de alabilirsiniz. Hizmet>Sertifikaları'na gidin, sertifikaya sağ tıklayın, Sertifikayı görüntüle'yi ve ardından Ayrıntılar'ı seçin.

AD FS'nin sertifikaları otomatik olarak yenileyip yenilemediğini belirleme

Varsayılan olarak, AD FS otomatik olarak belirteç imzalama ve belirteç şifre çözme sertifikaları oluşturacak şekilde yapılandırılır. Bunu hem ilk yapılandırma sırasında hem de sertifikalar son kullanma tarihlerine yaklaştığında yapar.

Şu PowerShell komutunu çalıştırabilirsiniz: Get-AdfsProperties | FL AutoCert*, Certificate*.

özelliği, AutoCertificateRollover AD FS'nin belirteç imzalama ve belirteç şifre çözme sertifikalarını otomatik olarak yenilemek için yapılandırılıp yapılandırılmadığını açıklar. Aşağıdakilerden birini yapın:

• olarak ayarlanırsa AutoCertificateRolloverTRUE, yeni bir otomatik olarak imzalanan sertifika oluşturun.
• olarak ayarlanırsa AutoCertificateRolloverFALSE, el ile yeni sertifikalar oluşturun.

AutoCertificateRollover TRUE olarak ayarlandıysa, yeni bir otomatik olarak imzalanan sertifika oluşturun

Bu bölümde iki belirteç imzalama sertifikası oluşturacaksınız. İlki, geçerli birincil sertifikanın -urgent hemen yerini alan bayrağını kullanır. İkincisi ikincil sertifika için kullanılır.

Önemli

Microsoft Entra Id önceki sertifika hakkındaki bilgileri içerdiğinden iki sertifika oluşturuyorsunuz. İkinci bir sertifika oluşturarak, Microsoft Entra Id'yi eski sertifika hakkındaki bilgileri serbest bırakmaya ve ikinci sertifikayla ilgili bilgilerle değiştirmenize neden olursunuz.

İkinci sertifikayı oluşturup Microsoft Entra Id'yi bu sertifikayla güncelleştirmezseniz, eski belirteç imzalama sertifikasının kullanıcıların kimliğini doğrulaması mümkün olabilir.

Yeni belirteç imzalama sertifikalarını oluşturmak için aşağıdakileri yapın:

1. Birincil AD FS sunucusunda oturum açtığınızdan emin olun.

2. Windows PowerShell'i yönetici olarak açın.

3. PowerShell'de çalıştırarak bunun olarak ayarlandığından AutoCertificateRolloverTrue emin olun:

   Get-AdfsProperties | FL AutoCert*, Certificate*

4. Yeni bir belirteç imzalama sertifikası oluşturmak için şunu çalıştırın:

   Update-ADFSCertificate -CertificateType Token-Signing -Urgent

5. Aşağıdakini çalıştırarak güncelleştirmeyi doğrulayın:

   Get-ADFSCertificate -CertificateType Token-Signing

6. Şimdi komutunu çalıştırarak ikinci belirteç imzalama sertifikasını oluşturun:

   Update-ADFSCertificate -CertificateType Token-Signing

7. Aşağıdaki komutu yeniden çalıştırarak güncelleştirmeyi doğrulayabilirsiniz:

   Get-ADFSCertificate -CertificateType Token-Signing

AutoCertificateRollover YANLIŞ olarak ayarlandıysa, el ile yeni sertifikalar oluşturun

Otomatik olarak oluşturulan varsayılan, otomatik olarak imzalanan belirteç imzalama ve belirteç şifre çözme sertifikalarını kullanmıyorsanız, bu sertifikaları el ile yenilemeniz ve yapılandırmanız gerekir. Bunu yapmak, iki yeni belirteç imzalama sertifikası oluşturmayı ve bunları içeri aktarmayı içerir. Ardından, birini birincil sertifikaya yükseltir, eski sertifikayı iptal eder ve ikinci sertifikayı ikincil sertifika olarak yapılandırabilirsiniz.

İlk olarak, sertifika yetkilinizden iki yeni sertifika almanız ve bunları her federasyon sunucusundaki yerel makine kişisel sertifika deposuna aktarmanız gerekir. Yönergeler için bkz . Sertifikayı içeri aktarma.

Önemli

Microsoft Entra Id önceki sertifika hakkındaki bilgileri içerdiğinden iki sertifika oluşturuyorsunuz. İkinci bir sertifika oluşturarak, Microsoft Entra Id'yi eski sertifika hakkındaki bilgileri serbest bırakmaya ve ikinci sertifikayla ilgili bilgilerle değiştirmenize neden olursunuz.

İkinci sertifikayı oluşturup Microsoft Entra Id'yi bu sertifikayla güncelleştirmezseniz, eski belirteç imzalama sertifikasının kullanıcıların kimliğini doğrulaması mümkün olabilir.

Yeni bir sertifikayı ikincil sertifika olarak yapılandırma

Ardından, bir sertifikayı ikincil AD FS belirteci imzalama veya şifre çözme sertifikası olarak yapılandırın ve ardından birincil sertifikaya yükseltin.

1. Sertifikayı içeri aktardıktan sonra AD FS Yönetim konsolunu açın.

2. Hizmet'i genişletin ve sertifikalar'ı seçin.

3. Eylemler bölmesinde Belirteç İmzalama Sertifikası Ekle'yi seçin.

4. Görüntülenen sertifikalar listesinden yeni sertifikayı seçin ve ardından Tamam'ı seçin.

Yeni sertifikayı ikincilden birincile yükseltme

Yeni sertifikayı içeri aktardığınıza ve AD FS'de yapılandırdığınıza göre, bunu birincil sertifika olarak ayarlamanız gerekir.

1. AD FS Yönetim konsolunu açın.

2. Hizmet'i genişletin ve sertifikalar'ı seçin.

3. İkincil belirteç imzalama sertifikasını seçin.

4. Eylemler bölmesinde Birincil Olarak Ayarla'yı seçin. İstemde Evet'i seçin.

5. Yeni sertifikayı birincil sertifika olarak yükseltdikten sonra, eski sertifikayı kaldırmanız gerekir çünkü hala kullanılabilir. Daha fazla bilgi için Eski sertifikalarınızı kaldırma bölümüne bakın.

İkinci sertifikayı ikincil sertifika olarak yapılandırmak için

İlk sertifikayı eklediğinize, birincil yaptığınıza ve eskisini kaldırdığınıza göre, ikinci sertifikayı içeri aktarabilirsiniz. Aşağıdakileri yaparak sertifikayı ikincil AD FS belirteç imzalama sertifikası olarak yapılandırın:

1. Sertifikayı içeri aktardıktan sonra AD FS Yönetim konsolunu açın.

2. Hizmet'i genişletin ve sertifikalar'ı seçin.

3. Eylemler bölmesinde Belirteç İmzalama Sertifikası Ekle'yi seçin.

4. Görüntülenen sertifikalar listesinden yeni sertifikayı seçin ve ardından Tamam'ı seçin.

Microsoft Entra Id'yi yeni belirteç imzalama sertifikasıyla güncelleştirme

1. Azure AD PowerShell modülünü açın. Alternatif olarak, Windows PowerShell'i açın ve komutunu çalıştırın Import-Module msonline .

2. Aşağıdaki komutu çalıştırarak Microsoft Entra Id'ye Bağlan:

   Connect-MsolService

3. Karma Kimlik Yönetici istrator kimlik bilgilerinizi girin.

   Not

   Bu komutları birincil federasyon sunucusu olmayan bir bilgisayarda çalıştırıyorsanız, önce aşağıdaki komutu girin:

   Set-MsolADFSContext -Computer <servername>

   sunucu adını> AD FS sunucusunun adıyla değiştirin <ve istemde AD FS sunucusunun yönetici kimlik bilgilerini girin.

4. İsteğe bağlı olarak, Microsoft Entra Id'deki geçerli sertifika bilgilerini denetleyerek bir güncelleştirmenin gerekli olup olmadığını doğrulayın. Bunu yapmak için şu komutu çalıştırın: Get-MsolFederationProperty. İstendiğinde Federasyon etki alanının adını girin.

5. Microsoft Entra Id'deki sertifika bilgilerini güncelleştirmek için aşağıdaki komutu çalıştırın ve Update-MsolFederatedDomain istendiğinde etki alanı adını girin.

   Not

   Bu komutu çalıştırdığınızda bir hata alırsanız komutunu çalıştırın Update-MsolFederatedDomain -SupportMultipleDomain ve isteminde etki alanı adını girin.

SSL sertifikalarını değiştirme

Risk nedeniyle belirteç imzalama sertifikanızı değiştirmeniz gerekiyorsa, AD FS ve Web Uygulama Ara Sunucusu (WAP) sunucularınız için Güvenli Yuva Katmanı (SSL) sertifikalarını da iptal edip değiştirmeniz gerekir.

SSL sertifikalarınızı iptal etme işlemi, sertifikayı veren sertifika yetkilisinde (CA) yapılmalıdır. Bu sertifikalar genellikle GoDaddy gibi üçüncü taraf sağlayıcılar tarafından verilir. Bir örnek için bkz. Sertifikayı iptal etme | SSL Sertifikaları - GoDaddy Bize Yardım Edin. Daha fazla bilgi için bkz . Sertifika iptali nasıl çalışır?

Eski SSL sertifikası iptal edildikten ve yeni bir sertifika verildikten sonra SSL sertifikalarını değiştirebilirsiniz. Daha fazla bilgi için bkz . AD FS için SSL sertifikasını değiştirme.

Eski sertifikalarınızı kaldırma

Eski sertifikalarınızı değiştirdikten sonra, hala kullanılabildiğinden eski sertifikayı kaldırmanız gerekir. Yapmak için:

1. Birincil AD FS sunucusunda oturum açtığınızdan emin olun.

2. Windows PowerShell'i yönetici olarak açın.

3. Eski belirteç imzalama sertifikasını kaldırmak için şunu çalıştırın:

   Remove-ADFSCertificate -CertificateType Token-Signing -thumbprint <thumbprint>

Federasyon meta verilerini tüketebilen federasyon iş ortaklarını güncelleştirme

Yeni bir belirteç imzalama veya belirteç şifre çözme sertifikası yenileyip yapılandırdıysanız, tüm federasyon iş ortaklarınızın yeni sertifikaları aldıklarından emin olmanız gerekir. Bu liste, bağlı olan taraf güvenleri ve talep sağlayıcı güvenleri tarafından AD FS'de temsil edilen kaynak kuruluşu veya hesap kuruluşu iş ortaklarını içerir.

Federasyon meta verilerini tüketemeyen federasyon iş ortaklarını güncelleştirme

Federasyon iş ortaklarınız federasyon meta verilerinizi kullanamıyorsa, onlara yeni belirteç imzalama / belirteç şifre çözme sertifikanızın ortak anahtarını el ile göndermeniz gerekir. Yeni sertifika ortak anahtarınızı (zincirin tamamını dahil etmek istiyorsanız .cer dosya veya .p7b) tüm kaynak kuruluşunuza veya hesap kuruluşu iş ortaklarınıza (bağlı olan taraf güvenleri ve talep sağlayıcı güvenleri tarafından AD FS'nizde temsil edilir) gönderin. İş ortaklarının yeni sertifikalara güvenmek için kendi tarafında değişiklik gerçekleştirmesini sağlayın.

PowerShell aracılığıyla yenileme belirteçlerini iptal etme

Şimdi, sahip olabilecek kullanıcıların yenileme belirteçlerini iptal etmek ve yeniden oturum açıp yeni belirteçler almaya zorlamak istiyorsunuz. Bu, kullanıcıların telefonlarını, geçerli web postası oturumlarını ve belirteçleri ve yenileme belirteçlerini kullanan diğer yerleri günlüğe kaydeder. Daha fazla bilgi için bkz . Revoke-AzureADUserAllRefreshToken. Ayrıca bkz . Microsoft Entra Id'de kullanıcı erişimini iptal etme.

Not

Azure AD ve MSOnline PowerShell modülleri 30 Mart 2024 itibarıyla kullanım dışı bırakılmıştır. Daha fazla bilgi edinmek için kullanımdan kaldırma güncelleştirmesini okuyun. Bu tarihten sonra bu modüllere yönelik destek, Microsoft Graph PowerShell SDK'sına geçiş yardımı ve güvenlik düzeltmeleriyle sınırlıdır. Kullanım dışı bırakılan modüller Mart 30 2025'e kadar çalışmaya devam edecektir.

Microsoft Entra ID (eski adıyla Azure AD) ile etkileşime geçmek için Microsoft Graph PowerShell'e geçiş yapmanızı öneririz. Sık sorulan geçiş soruları için Bkz. Geçiş hakkında SSS. Not: MSOnline'ın 1.0.x sürümleri 30 Haziran 2024'den sonra kesintiye neden olabilir.

Sonraki adımlar

• Windows Server 2016'da AD FS ve WAP'de SSL sertifikalarını yönetme
• AD FS için belirteç imzalama ve belirteç şifre çözme sertifikalarını alma ve yapılandırma
• Microsoft 365 ve Microsoft Entra Id için federasyon sertifikalarını yenileme