Office 365 ve Azure Active Directory için Federasyon sertifikalarını yenilemeRenew federation certificates for Office 365 and Azure Active Directory

Genel BakışOverview

Azure Active Directory (Azure AD) ve Active Directory Federasyon Hizmetleri (AD FS) arasında başarılı Federasyon için Azure AD'de yapılandırılmış Azure AD'ye güvenlik belirteçleri imzalamak için AD FS tarafından kullanılan sertifikaları eşleşmesi gerekir.For successful federation between Azure Active Directory (Azure AD) and Active Directory Federation Services (AD FS), the certificates used by AD FS to sign security tokens to Azure AD should match what is configured in Azure AD. Herhangi bir uyuşmazlık güvenin Bozulması neden olabilir.Any mismatch can lead to broken trust. Azure AD, AD FS ve Web uygulaması Ara sunucusu (extranet erişimi için) dağıtırken bu bilgileri eşitlenmiş tutulduğundan emin sağlar.Azure AD ensures that this information is kept in sync when you deploy AD FS and Web Application Proxy (for extranet access).

Bu makalede, belirteç imzalama sertifikalarını yönetmek ve aşağıdaki durumlarda Azure AD ile eşitlenmiş halde tutun için ek bilgiler sağlanmaktadır:This article provides you additional information to manage your token signing certificates and keep them in sync with Azure AD, in the following cases:

  • Web uygulaması Ara sunucusu dağıtıyorsanız değil ve bu nedenle Federasyon meta verilerine extranet kullanılabilir değil.You are not deploying the Web Application Proxy, and therefore the federation metadata is not available in the extranet.
  • Varsayılan AD FS yapılandırması için belirteç imzalama sertifikaları kullanarak değil.You are not using the default configuration of AD FS for token signing certificates.
  • Bir üçüncü taraf kimlik sağlayıcısı kullanıyor.You are using a third-party identity provider.

AD FS belirteç imzalama sertifikaları için varsayılan yapılandırmaDefault configuration of AD FS for token signing certificates

Belirteç imzalama ve belirteç şifre çözme sertifikaları genellikle otomatik olarak imzalanan sertifikaları ve bir yıl için uygundur.The token signing and token decrypting certificates are usually self-signed certificates, and are good for one year. Varsayılan olarak, AD FS adlı bir otomatik yenileme işlemi içerir. AutoCertificateRollover.By default, AD FS includes an auto-renewal process called AutoCertificateRollover. Otomatik olarak AD FS 2.0 veya sonraki bir sürümü, Office 365 ve Azure AD kullanıyorsanız, sertifikanın süresi dolmadan önce güncelleştirin.If you are using AD FS 2.0 or later, Office 365 and Azure AD automatically update your certificate before it expires.

Microsoft 365 Yönetici merkezinden veya bir e-posta yenileme bildirimiRenewal notification from the Microsoft 365 admin center or an email

Not

E-posta veya Office için sertifikanızı yenilemek için bkz: isteyen bir portal bildirimi aldıysanız belirteç imzalama sertifikaları yapılan değişiklikleri yönetme herhangi bir eylemde bulunmanız gerekiyorsa denetlemek için.If you received an email or a portal notification asking you to renew your certificate for Office, see Managing changes to token signing certificates to check if you need to take any action. Microsoft sertifika yenileme herhangi bir işlem gerekli olsa bile, gönderilen bildirimler için yol açabilecek olası bir sorunu farkındadır.Microsoft is aware of a possible issue that can lead to notifications for certificate renewal being sent, even when no action is required.

Azure AD Federasyon meta verilerini izleme ve belirteç imzalama sertifikaları bu meta veriler tarafından belirtildiği şekilde güncelleştirmek çalışır.Azure AD attempts to monitor the federation metadata, and update the token signing certificates as indicated by this metadata. 30 gün önce sona erme tarihini belirteç imzalama sertifikaları, Azure AD Federasyon meta verileri yoklayarak yeni sertifikalar kullanılabilir olup olmadığını denetler.30 days before the expiration of the token signing certificates, Azure AD checks if new certificates are available by polling the federation metadata.

  • Başarıyla Federasyon meta verileri yoklamak ve yeni sertifikalar almak, kullanıcıya e-posta bildirimi ya da Microsoft 365 Yönetim merkezinde uyarı verilir.If it can successfully poll the federation metadata and retrieve the new certificates, no email notification or warning in the Microsoft 365 admin center is issued to the user.
  • Yeni belirteç imzalama sertifikaları alınamıyor, ya da Federasyon meta verilerine erişilemiyor veya otomatik sertifika aktarma etkin değil, çünkü Azure AD bir e-posta bildirimi ve Microsoft 365 Yönetim merkezinde bir uyarı verir.If it cannot retrieve the new token signing certificates, either because the federation metadata is not reachable or automatic certificate rollover is not enabled, Azure AD issues an email notification and a warning in the Microsoft 365 admin center.

Office 365 portal bildirimi

Önemli

İş sürekliliğinin sağlanması için AD FS kullanıyorsanız, lütfen bilinen sorunlara yönelik kimlik doğrulama hatalarının meydana gelmediğinden, sunucularınızı aşağıdaki güncelleştirmeleri sahip olduğunuzu doğrulayın.If you are using AD FS, to ensure business continuity, please verify that your servers have the following updates so that authentication failures for known issues do not occur. Bu, bu yenileme ve gelecekteki yenileme dönemleri için bilinen AD FS proxy sunucusu sorunlarını hafifletir:This mitigates known AD FS proxy server issues for this renewal and future renewal periods:

Server 2012 R2 - Windows Server Mayıs 2014 paketiServer 2012 R2 - Windows Server May 2014 rollup

Server 2008 R2 ve 2012 - proxy üzerinden kimlik doğrulaması başarısız Windows Server 2012 veya Windows 2008 R2 SP1Server 2008 R2 and 2012 - Authentication through proxy fails in Windows Server 2012 or Windows 2008 R2 SP1

Sertifikaları güncelleştirilmesi gerekip gerekmediğini denetleyin Check if the certificates need to be updated

1. adım: AutoCertificateRollover durumunu denetleyinStep 1: Check the AutoCertificateRollover state

AD FS sunucunuza, PowerShell'i açın.On your AD FS server, open PowerShell. AutoCertificateRollover değeri True olarak ayarlandığından emin olun.Check that the AutoCertificateRollover value is set to True.

Get-Adfsproperties

AutoCertificateRollover

Not

AD FS 2.0 kullanıyorsanız, Add-Pssnapin Microsoft.Adfs.Powershell çalıştırın.If you are using AD FS 2.0, first run Add-Pssnapin Microsoft.Adfs.Powershell.

2. adım: AD FS ile Azure AD eşitleme olduğundan emin olunStep 2: Confirm that AD FS and Azure AD are in sync

AD FS sunucunuzun MSOnline PowerShell istemi açın ve Azure AD'ye bağlanma.On your AD FS server, open the MSOnline PowerShell prompt, and connect to Azure AD.

Not

MSOL cmdlet'lerinden MSOnline PowerShell modülünde bir parçasıdır.MSOL-Cmdlets are part of the MSOnline PowerShell module. MSOnline PowerShell modülünde doğrudan PowerShell Galerisi'nden indirebilirsiniz.You can download the MSOnline PowerShell Module directly from the PowerShell Gallery.

Install-Module MSOnline

MSOnline PowerShell modülünü kullanarak Azure AD'ye bağlanın.Connect to Azure AD using the MSOnline PowerShell-Module.

Import-Module MSOnline
Connect-MsolService

AD FS ile Azure AD özellikleri için belirtilen etki alanı güven yapılandırılan sertifikaları kontrol edin.Check the certificates configured in AD FS and Azure AD trust properties for the specified domain.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Her iki çıkışları parmak izlerinin eşleşiyorsa sertifikalarınızı Azure AD ile eşitlenmiş halde değil.If the thumbprints in both the outputs match, your certificates are in sync with Azure AD.

3. adım: Sertifikanızın süresi dolmak üzere olup olmadığını denetleyinStep 3: Check if your certificate is about to expire

Get-MsolFederationProperty veya Get-AdfsCertificate çıktısındaki tarih "Değil sonra" altında olup olmadığını denetleyinIn the output of either Get-MsolFederationProperty or Get-AdfsCertificate, check for the date under "Not After." 30 günden az hemen tarihse eylemde bulunmanız gerekir.If the date is less than 30 days away, you should take action.

AutoCertificateRolloverAutoCertificateRollover Azure AD ile eşitlenmiş sertifikalarıCertificates in sync with Azure AD Federasyon meta verileri genel olarak erişilebilirFederation metadata is publicly accessible GeçerlilikValidity EylemAction
EvetYes EvetYes EvetYes - Eyleme gerek yok.No action needed. Bkz: yenileme belirteç imzalama sertifikası otomatik olarak.See Renew token signing certificate automatically.
EvetYes HayırNo - 15 günden azLess than 15 days Hemen yenileyin.Renew immediately. Bkz: el ile yenileme belirteç imzalama sertifikası.See Renew token signing certificate manually.
HayırNo - - 30 günden azLess than 30 days Hemen yenileyin.Renew immediately. Bkz: el ile yenileme belirteç imzalama sertifikası.See Renew token signing certificate manually.

[-] Önemli değildir[-] Does not matter

Aşağıdakilerin her ikisi de doğruysa el ile herhangi bir adım gerçekleştirmeniz gerekmez:You don't need to perform any manual steps if both of the following are true:

  • Erişim için Federasyon meta verilerine extranet kaynaklı etkinleştirebilirsiniz Web uygulama proxy'si dağıttım.You have deployed Web Application Proxy, which can enable access to the federation metadata from the extranet.
  • AD FS varsayılan yapılandırması (AutoCertificateRollover etkin) kullanıyor.You are using the AD FS default configuration (AutoCertificateRollover is enabled).

Sertifika otomatik olarak güncelleştirilebilir onaylamak için aşağıdakini işaretleyin.Check the following to confirm that the certificate can be automatically updated.

1. AutoCertificateRollover AD FS özelliği True olarak ayarlanmalıdır.1. The AD FS property AutoCertificateRollover must be set to True. Bu AD FS yeni belirteç imzalama ve belirteç şifre çözme sertifikaları otomatik olarak oluşturmak, önce eski olanları sona gösterir.This indicates that AD FS will automatically generate new token signing and token decryption certificates, before the old ones expire.

2. AD FS federasyon meta verileri genel olarak erişilebilir.2. The AD FS federation metadata is publicly accessible. Genel İnternet'e (dışına, kurumsal ağ) üzerindeki bir bilgisayardan aşağıdaki URL'ye giderek Federasyon meta verilerinizi genel olarak erişilebilir olduğundan emin olun:Check that your federation metadata is publicly accessible by navigating to the following URL from a computer on the public internet (off of the corporate network):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xmlhttps://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

Burada (your_FS_name) kuruluşunuzun kullandığı, fs.contoso.com gibi Federasyon Hizmeti konak adı ile değiştirilir.where (your_FS_name) is replaced with the federation service host name your organization uses, such as fs.contoso.com. Her ikisi de doğrulayamadı varsa bu ayarları başarıyla, başka bir şey yapmanız gerekmez.If you are able to verify both of these settings successfully, you do not have to do anything else.

Örnek: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xmlExample: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Belirteç imzalama sertifikasının el ile yenileme Renew the token signing certificate manually

Belirteç imzalama sertifikalarının el ile yenilemek tercih edebilirsiniz.You may choose to renew the token signing certificates manually. Örneğin, aşağıdaki senaryolar için el ile yenileme daha iyi çalışabilir:For example, the following scenarios might work better for manual renewal:

  • Kendinden imzalı sertifikaların belirteç imzalama sertifikaları.Token signing certificates are not self-signed certificates. Bunun en yaygın nedeni, kuruluşunuzun AD FS sertifikalarının bir kuruluş sertifika yetkilisi tarafından kaydedilen yönetmesidir.The most common reason for this is that your organization manages AD FS certificates enrolled from an organizational certificate authority.
  • Ağ güvenliği gelen kullanıma açık Federasyon meta verileri izin vermez.Network security does not allow the federation metadata to be publicly available.

Belirteç imzalama sertifikalarını her güncelleştirdiğinizde bu senaryolarda, ayrıca Office 365 etki alanınızı: Update-MsolFederatedDomain PowerShell komutunu kullanarak güncelleştirmeniz gerekir.In these scenarios, every time you update the token signing certificates, you must also update your Office 365 domain by using the PowerShell command, Update-MsolFederatedDomain.

1. adım: AD FS yeni belirteç imzalama sertifikalarının olduğundan emin olunStep 1: Ensure that AD FS has new token signing certificates

Varsayılan olmayan yapılandırmaNon-default configuration

Bir varsayılan olmayan yapılandırma AD FS kullanıyorsanız (burada AutoCertificateRollover ayarlanır False), büyük olasılıkla özel sertifikaları (otomatik imzalı değil) kullanıyorsunuz.If you are using a non-default configuration of AD FS (where AutoCertificateRollover is set to False), you are probably using custom certificates (not self-signed). AD FS belirteç imzalama sertifikaları yenileme hakkında daha fazla bilgi için bkz. yönergeler AD FS kullanarak olmayan müşteriler için otomatik imzalı sertifikalar.For more information about how to renew the AD FS token signing certificates, see Guidance for customers not using AD FS self-signed certificates.

Federasyon meta verileri, genel kullanıma açık değil.Federation metadata is not publicly available

Öte yandan, varsa AutoCertificateRollover ayarlanır True, ancak Federasyon meta verilerinizi genel olarak erişilebilir değil, ilk olarak AD FS tarafından oluşturulmuş olan yeni bir belirteç imzalama sertifikaları emin olun.On the other hand, if AutoCertificateRollover is set to True, but your federation metadata is not publicly accessible, first make sure that new token signing certificates have been generated by AD FS. Yeni belirteç imzalama sertifikaları aşağıdaki adımları izleyerek sahip olmadığını onaylayın:Confirm you have new token signing certificates by taking the following steps:

  1. Birincil AD FS sunucusunda oturum açan doğrulayın.Verify that you are logged on to the primary AD FS server.

  2. Bir PowerShell komut penceresi açıp ve aşağıdaki komutu çalıştırarak AD FS geçerli İmzalama sertifikaları denetleyin:Check the current signing certificates in AD FS by opening a PowerShell command window, and running the following command:

    PS C:>Get-ADFSCertificate – CertificateType belirteç imzalamaPS C:>Get-ADFSCertificate –CertificateType token-signing

    Not

    AD FS 2.0 kullanıyorsanız, Add-Pssnapin Microsoft.Adfs.Powershell çalıştırmalısınız.If you are using AD FS 2.0, you should run Add-Pssnapin Microsoft.Adfs.Powershell first.

  3. Komut çıktısı, listelenen herhangi bir sertifika bakın.Look at the command output at any certificates listed. AD FS yeni bir sertifika oluşturdu, iki sertifika çıktı görmeniz gerekir: biri olan Isprimary değer True ve NotAfter tarihtir 5 gün içinde , diğeri hangi Isprimary olduğu False ve NotAfter gelecekte bir yıl hakkında.If AD FS has generated a new certificate, you should see two certificates in the output: one for which the IsPrimary value is True and the NotAfter date is within 5 days, and one for which IsPrimary is False and NotAfter is about a year in the future.

  4. Yalnızca bir sertifika görüyorsanız ve NotAfter tarihi 5 gün içinde yeni bir sertifika oluşturmanız gerekiyor.If you only see one certificate, and the NotAfter date is within 5 days, you need to generate a new certificate.

  5. Yeni bir sertifika oluşturmak için bir PowerShell komut isteminde aşağıdaki komutu yürütün: PS C:\>Update-ADFSCertificate –CertificateType token-signing.To generate a new certificate, execute the following command at a PowerShell command prompt: PS C:\>Update-ADFSCertificate –CertificateType token-signing.

  6. Güncelleştirme, aşağıdaki komutu çalıştırarak yeniden doğrulayın: PS C:>Get-ADFSCertificate – CertificateType belirteç imzalamaVerify the update by running the following command again: PS C:>Get-ADFSCertificate –CertificateType token-signing

İki sertifika listelenir artık, biri olan bir NotAfter tarih yaklaşık bir yıl sonra ve hangi Isprimary değer False.Two certificates should be listed now, one of which has a NotAfter date of approximately one year in the future, and for which the IsPrimary value is False.

2. adım: Yeni belirteç imzalama sertifikaları için Office 365 güven güncelleştirStep 2: Update the new token signing certificates for the Office 365 trust

Office 365, yeni belirteç imzalama sertifikaları gibi güven için kullanılacak ile güncelleştirin.Update Office 365 with the new token signing certificates to be used for the trust, as follows.

  1. Microsoft Azure Active Directory modülü için Windows PowerShell'i açın.Open the Microsoft Azure Active Directory Module for Windows PowerShell.
  2. $Cred Çalıştır = Get-Credential.Run $cred=Get-Credential. Bu cmdlet için kimlik bilgilerini sorduğunda, bulut hizmeti yönetici hesabı kimlik bilgilerini yazın.When this cmdlet prompts you for credentials, type your cloud service administrator account credentials.
  3. Connect-MsolService çalıştırma – $cred kimlik bilgisi. Bu cmdlet bulut hizmetine bağlanır.Run Connect-MsolService –Credential $cred. This cmdlet connects you to the cloud service. Bulut hizmetine bağlanan bir bağlam oluşturma aracı tarafından yüklenen ek cmdlet'lerinden herhangi birini çalıştırmadan önce gereklidir.Creating a context that connects you to the cloud service is required before running any of the additional cmdlets installed by the tool.
  4. Bu komutlar, AD FS birincil Federasyon sunucusu olmayan bir bilgisayar üzerinde çalıştırıyorsanız, Set-MSOLAdfscontext Çalıştır-bilgisayar <AD FS birincil sunucusunu>burada <AD FS birincil sunucusunu> iç FQDN: Birincil AD FS sunucusunun adı.If you are running these commands on a computer that is not the AD FS primary federation server, run Set-MSOLAdfscontext -Computer <AD FS primary server>, where <AD FS primary server> is the internal FQDN name of the primary AD FS server. Bu cmdlet, AD FS ile bağlanan bir bağlam oluşturur.This cmdlet creates a context that connects you to AD FS.
  5. : Update-MSOLFederatedDomain-DomainName çalıştırma <etki alanı>.Run Update-MSOLFederatedDomain –DomainName <domain>. Bu cmdlet, bulut hizmeti AD fs'den ayarlarını güncelleştirir ve ikisi arasındaki güven ilişkisi yapılandırır.This cmdlet updates the settings from AD FS into the cloud service, and configures the trust relationship between the two.

Not

Contoso.com ve fabrikam.com, gibi birden çok en üst düzey etki alanlarını destekleyecek şekilde gerekiyorsa kullanmalısınız SupportMultipleDomain herhangi bir cmdlet ile geçiş yapın.If you need to support multiple top-level domains, such as contoso.com and fabrikam.com, you must use the SupportMultipleDomain switch with any cmdlets. Daha fazla bilgi için birden çok üst düzey etki alanları desteği.For more information, see Support for Multiple Top Level Domains.

Azure AD Connect kullanarak Azure AD güvenini Onar Repair Azure AD trust by using Azure AD Connect

Azure AD Connect kullanarak AD FS grubu ve Azure AD güvenini yapılandırdıysanız, belirteç imzalama sertifikaları için herhangi bir eylemde bulunmanız gerekiyorsa algılamak için Azure AD Connect kullanabilirsiniz.If you configured your AD FS farm and Azure AD trust by using Azure AD Connect, you can use Azure AD Connect to detect if you need to take any action for your token signing certificates. Sertifikaları yenilemek gerekiyorsa, bunu yapmak için Azure AD Connect kullanabilirsiniz.If you need to renew the certificates, you can use Azure AD Connect to do so.

Daha fazla bilgi için güveni onarma.For more information, see Repairing the trust.

AD FS ile Azure AD güncelleştirme adımları sertifikaAD FS and Azure AD certificate update steps

Standart X509 belirteç imzalama sertifikaları federasyon sunucusunun verdiği tüm belirteçleri güvenle imzalamak için kullanılan sertifika.Token signing certificates are standard X509 certificates that are used to securely sign all tokens that the federation server issues. Belirteç şifre çözme sertifikaları olan standart X509 gelen belirteçlerin şifresini çözmek için kullanılan sertifikaları.Token decryption certificates are standard X509 certificates that are used to decrypt any incoming tokens.

Varsayılan olarak, AD FS belirteç imzalama ve belirteç şifre çözme sertifikaları hem başlangıç yapılandırmasını zaman hem de sertifika, sona erme tarihi bölümüyle iletişime geçerken otomatik olarak oluşturmak için yapılandırılır.By default, AD FS is configured to generate token signing and token decryption certificates automatically, both at the initial configuration time and when the certificates are approaching their expiration date.

Azure AD, Federasyon hizmet meta verilerinden 30 gün önce geçerli sertifikanın süre sonu yeni bir sertifika almaya çalışır.Azure AD tries to retrieve a new certificate from your federation service metadata 30 days before the expiry of the current certificate. Yeni bir sertifika o anda kullanılabilir değil durumunda, Azure AD meta veriler günlük düzenli aralıklarla izlemek devam eder.In case a new certificate is not available at that time, Azure AD will continue to monitor the metadata on regular daily intervals. Yeni sertifika meta verilerde mevcut etki alanında Federasyon ayarlarını yeni sertifika bilgileriyle güncellenir.As soon as the new certificate is available in the metadata, the federation settings for the domain are updated with the new certificate information. Kullanabileceğiniz Get-MsolDomainFederationSettings NextSigningCertificate yeni sertifikayı görürseniz doğrulamak için / SigningCertificate.You can use Get-MsolDomainFederationSettings to verify if you see the new certificate in the NextSigningCertificate / SigningCertificate.

Belirteç imzalama hakkında daha fazla bilgi için bkz: AD FS sertifikaları elde edilir ve yapılandırma, belirteç imzalama ve AD FS belirteç şifre çözme sertifikalarıFor more information on Token Signing certificates in AD FS see Obtain and Configure Token Signing and Token Decryption Certificates for AD FS