Microsoft 365 ve Azure Active Directory için Federasyon sertifikalarını yenileme

Genel Bakış

Azure Active Directory (Azure AD) ve Active Directory Federasyon Hizmetleri (AD FS) (AD FS) arasında başarılı bir Federasyon için, Azure AD 'de güvenlik belirteçlerini imzalamak üzere AD FS tarafından kullanılan sertifikaların Azure AD 'de yapılandırıldıklarıyla aynı olması gerekir. Herhangi bir uyuşmazlık, kopuk güvene yol açabilir. Azure AD, AD FS ve Web uygulaması ara sunucusu (extranet erişimi için) dağıtırken bu bilgilerin eşitlenmiş durumda kalmasını sağlar.

Not

Bu makalede, Federasyon sertifikalarınızın yönetimi hakkında bilgi sağlanır. Acil durum dönüşüyle ilgili bilgi için bkz . AD FS sertifikalarının acil bir dönüşü

Bu makalede, aşağıdaki durumlarda belirteç imzalama sertifikalarınızı yönetmek ve Azure AD ile eşitlenmiş halde tutmak için ek bilgiler sağlanmaktadır:

  • Web uygulaması ara sunucusunu dağıtmıyor ve bu nedenle Federasyon meta verileri extranet 'te kullanılamıyor.
  • Belirteç imzalama sertifikaları için AD FS varsayılan yapılandırmasını kullandeğilsiniz.
  • Bir üçüncü taraf kimlik sağlayıcısı kullanıyorsunuz.

Önemli

Microsoft, sertifikaları korumak ve güvenli hale getirmek için bir donanım güvenlik modülü (HSM) kullanmanızı çok öneriyor. Daha fazla bilgi için, AD FS güvenli hale getirmek için en iyi yöntemler altında donanım güvenlik modülüne bakın

Belirteç imzalama sertifikaları için AD FS varsayılan yapılandırması

Belirteç imzalama ve belirteç şifre çözme sertifikaları genellikle kendinden imzalı sertifikalardır ve bir yıl boyunca iyidir. Varsayılan olarak, AD FS AutoCertificateRollover adlı otomatik yenileme işlemini içerir. AD FS 2,0 veya sonraki bir sürümü kullanıyorsanız, Microsoft 365 ve Azure AD süresi dolmadan önce sertifikanızı otomatik olarak güncelleştirir.

Microsoft 365 Yönetim merkezinden veya bir e-postadaki yenileme bildirimi

Not

Office sertifikanızı yenilemenizi isteyen bir e-posta veya Portal bildirimi aldıysanız, herhangi bir işlem yapmanız gerektiğini denetlemek için bkz. belirteç imzalama sertifikalarındaki değişiklikleri yönetme . Microsoft, herhangi bir işlem gerekmediği zaman bile, gönderilen sertifika yenileme bildirimlerine yol açabilecek olası bir sorunu biliyor.

Azure AD, Federasyon meta verilerini izlemeye çalışır ve bu meta verilerle gösterildiği gibi belirteç imzalama sertifikalarını güncelleştirebilir. belirteç imzalama sertifikalarının süresi dolduktan 30 gün önce, Azure AD, Federasyon meta verilerini yoklayarak yeni sertifikaların kullanılabilir olup olmadığını denetler.

  • Federasyon meta verilerini başarılı bir şekilde yoklayabiliyorsanız ve yeni sertifikaları alamıyorsa, Microsoft 365 Yönetim Merkezi 'nde bir e-posta bildirimi veya uyarısı kullanıcıya verilmez.
  • Federasyon meta verilerine erişilemediği veya otomatik sertifika geçişi etkinleştirilmediğinden, Azure AD, Microsoft 365 Yönetim merkezinde bir e-posta bildirimi ve uyarı verir.

Office 365 Portalı bildirimi

Önemli

AD FS kullanıyorsanız, iş sürekliliği sağlamak için, bilinen sorunlara yönelik kimlik doğrulama hatalarının gerçekleşmemesi için lütfen sunucularınızın aşağıdaki güncelleştirmelere sahip olduğunu doğrulayın. Bu, bu yenileme ve gelecekteki yenileme dönemlerinde bilinen AD FS proxy sunucusu sorunlarını azaltır:

Server 2012 R2- Windows Server 2014 Mayıs

Server 2008 R2 ve 2012- Windows Server 2012 veya windows 2008 R2 SP1 'de proxy aracılığıyla kimlik doğrulaması başarısız oluyor

Sertifikaların güncelleştirilip güncelleştirilmediğini denetle

1. Adım: AutoCertificateRollover durumunu denetleyin

AD FS sunucunuzda PowerShell ' i açın. AutoCertificateRollover değerinin true olarak ayarlandığından emin olun.

Get-Adfsproperties

AutoCertificateRollover

Not

AD FS 2,0 kullanıyorsanız, önce Microsoft. ADFS. PowerShell Add-Pssnapin çalıştırın.

2. Adım: AD FS ve Azure AD 'nin eşitlenmiş olduğunu onaylayın

AD FS sunucunuzda MSOnline PowerShell komut istemi ' ni açın ve Azure AD 'ye bağlanın.

Not

MSOL-Cmdlets, MSOnline PowerShell modülünün bir parçasıdır. MSOnline PowerShell modülünü doğrudan PowerShell Galerisi indirebilirsiniz.

Install-Module MSOnline

MSOnline PowerShell-modülünü kullanarak Azure AD 'ye bağlanın.

Import-Module MSOnline
Connect-MsolService

AD FS ' de yapılandırılan sertifikaları ve belirtilen etki alanı için Azure AD Güven Özellikleri ' ni denetleyin.

Get-MsolFederationProperty -DomainName <domain.name> | FL Source, TokenSigningCertificate

Get-MsolFederationProperty

Parmak izleri her iki çıktıda eşleşiyorsa, sertifikalarınız Azure AD ile eşitlenir.

3. Adım: sertifikanızın sona ermek üzere olup olmadığını denetleyin

Get-MsolFederationProperty veya Get-Adfscercertificate 'ın çıktısında, "sonra değil" altında tarihi kontrol edin. Tarih 30 günden azsa, işlem yapmanız gerekir.

AutoCertificateRollover Azure AD ile eşitlenmiş sertifikalar Federasyon meta verileri herkese açık bir şekilde erişilebilir Olacağı Eylem
Yes Yes Yes - Eyleme gerek yok. Bkz. belirteç imzalama sertifikasını otomatik olarak yenileme.
Yes Hayır - 15 günden az Hemen yenileyin. Bkz. belirteç imzalama sertifikasını el Ile yenileme.
No - - 30 günden az Hemen yenileyin. Bkz. belirteç imzalama sertifikasını el Ile yenileme.

[-] Önemi yoktur

Aşağıdakilerin her ikisi de doğruysa, el ile herhangi bir adım gerçekleştirmeniz gerekmez:

  • Web uygulaması proxy 'Si dağıttıysanız, extranet 'ten Federasyon meta verilerine erişim sağlayabilirsiniz.
  • AD FS varsayılan yapılandırmayı kullanıyorsunuz (AutoCertificateRollover etkin).

Sertifikanın otomatik olarak güncelleştirilebileceğini onaylamak için aşağıdakileri denetleyin.

1. AD FS özelliği AutoCertificateRollover true olarak ayarlanmalıdır. Bu, AD FS, eski kullanım süreleri dolmadan önce otomatik olarak yeni belirteç imzalama ve belirteç şifre çözme sertifikaları üretecek anlamına gelir.

2. AD FS Federasyon meta verileri herkese açık bir şekilde erişilebilir. Ortak internet 'teki bir bilgisayardan aşağıdaki URL 'ye giderek, Federasyon meta verilerinizden genel olarak erişilebilir olup olmadığını denetleyin (şirket ağının dışında):

https://(your_FS_name)/federationmetadata/2007-06/federationmetadata.xml

burada, (your_FS_name) kuruluşunuzun kullandığı Federasyon Hizmeti ana bilgisayar adı (örneğin, FS.contoso.com) ile değiştirilmiştir. Bu ayarların her ikisini de başarıyla doğrulayabiliyorsanız, başka bir şey yapmanız gerekmez.

Örnek: https://fs.contoso.com/federationmetadata/2007-06/federationmetadata.xml

Belirteç imzalama sertifikasını el ile yenileme

Belirteç imzalama sertifikalarını el ile yenilemeyi seçebilirsiniz. Örneğin, aşağıdaki senaryolar el ile yenileme için daha iyi çalışabilir:

  • Belirteç imzalama sertifikaları otomatik olarak imzalanan sertifikalar değildir. Bunun en yaygın nedeni, kuruluşunuzun bir kuruluş sertifika yetkilisinden kaydedilen AD FS sertifikalarını yönettiğine yöneliktir.
  • Ağ güvenliği, Federasyon meta verilerinin herkese açık bir şekilde izin vermez.

Bu senaryolarda, belirteç imzalama sertifikalarını her güncelleştirdiğinizde, Update-MsolFederatedDomain PowerShell komutunu kullanarak da Microsoft 365 etki alanınızı güncelleştirmeniz gerekir.

1. Adım: AD FS yeni belirteç imzalama sertifikaları içerdiğinden emin olun

Varsayılan olmayan yapılandırma

AD FS varsayılan olmayan bir yapılandırma kullanıyorsanız ( AutoCertificateRollover false olarak ayarlandığında), büyük olasılıkla özel sertifikalar kullanıyorsunuz (otomatik olarak imzalanmamış). AD FS belirteç imzalama sertifikalarının nasıl yenileneceği hakkında daha fazla bilgi için bkz. Federasyon sunucuları Için sertifika gereksinimleri.

Federasyon meta verileri herkese açık değil

Diğer taraftan, AutoCertificateRollover true olarak ayarlanmışsa, ancak Federasyon meta verileriniz herkese açık olarak erişilemezse, önce yeni belirteç imzalama sertifikalarının AD FS tarafından oluşturulduğundan emin olun. Aşağıdaki adımları uygulayarak yeni belirteç imzalama sertifikalarınızın olduğunu doğrulayın:

  1. Birincil AD FS sunucuda oturum açtığınızdan emin olun.

  2. Bir PowerShell komut penceresi açarak ve aşağıdaki komutu çalıştırarak AD FS içindeki geçerli imzalama sertifikalarını denetleyin:

    PS C: > Get-Adfscercertificate, – CertificateType token-signing

    Not

    AD FS 2,0 kullanıyorsanız, önce Microsoft. ADFS. PowerShell Add-Pssnapin çalıştırmalısınız.

  3. Listelenen tüm sertifikalarda komut çıktısına bakın. AD FS yeni bir sertifika oluşturmışsa, çıktıda iki sertifika görmeniz gerekir: isprımary değeri true ve NotAfter tarihi 5 gün içinde ve tarihi, gelecekte bir yıl hakkında.

  4. Yalnızca bir sertifika görürseniz ve NotAfter tarihi 5 gün içindeyse, yeni bir sertifika oluşturmanız gerekir.

  5. Yeni bir sertifika oluşturmak için PowerShell komut isteminde aşağıdaki komutu yürütün: PS C:\Update-ADFSCertificate –CertificateType token-signing .

  6. Aşağıdaki komutu yeniden çalıştırarak güncelleştirmeyi doğrulayın: PS C: > Get-Adfscercertificate ate – CertificateType token-signing

Şu anda iki sertifika listelenmelidir, bunlardan biri gelecekte yaklaşık bir yıl NotAfter tarih ve ısprımary değeri false şeklindedir.

2. Adım: Microsoft 365 güvenin yeni belirteç imzalama sertifikalarını güncelleştirme

Microsoft 365, güven için kullanılacak yeni belirteç imzalama sertifikaları ile aşağıdaki gibi güncelleştirin.

  1. Windows PowerShell için Microsoft Azure Active Directory Modülü açın.
  2. $Cred = Get-Credential ' i çalıştırın. Bu cmdlet kimlik bilgileri girmenizi isterse, bulut hizmeti Yönetici hesabınızın kimlik bilgilerini yazın.
  3. Connect-MsolService: Credential $cred çalıştırın. Bu cmdlet sizi bulut hizmetine bağlar. Araç tarafından yüklenen ek cmdlet 'lerden herhangi birini çalıştırmadan önce, sizi bulut hizmetine bağlayan bir bağlam oluşturmak gerekir.
  4. Bu komutları AD FS birincil federasyon sunucusu olmayan bir bilgisayarda çalıştırıyorsanız, < > < AD FS birincil sunucu birincil > AD FS sunucusunun iç FQDN 'Si olan Set-MSOLAdfscontext-Computer AD FS birincil sunucusunu çalıştırın. Bu cmdlet, sizi AD FS bağlayan bir bağlam oluşturur.
  5. Update-MSOLFederatedDomain – DomainName < etki alanı çalıştırın > . Bu cmdlet, AD FS ayarları bulut hizmetine güncelleştirir ve ikisi arasındaki güven ilişkisini yapılandırır.

Not

Contoso.com ve fabrikam.com gibi birden çok üst düzey etki alanını desteklemeniz gerekiyorsa, bir cmdlet ile supportmultipledomain anahtarını kullanmanız gerekir. Daha fazla bilgi için bkz. birden çok üst düzey etki alanı Için destek.

Azure AD Connect kullanarak Azure AD güvenini onarın

AD FS grubunuzu ve Azure AD güvenini Azure AD Connect kullanarak yapılandırdıysanız, belirteç imzalama sertifikalarınız için herhangi bir işlem yapmanız gerektiğini algılamak üzere Azure AD Connect kullanabilirsiniz. Sertifikaları yenilemeniz gerekiyorsa, bunu yapmak için Azure AD Connect kullanabilirsiniz.

Daha fazla bilgi için bkz. güveni onarma.

AD FS ve Azure AD sertifikası güncelleştirme adımları

Belirteç imzalama sertifikaları, Federasyon sunucusunun verdiği tüm belirteçleri güvenli bir şekilde imzalamak için kullanılan standart x509 sertifikalarıdır. Belirteç şifre çözme sertifikaları, gelen belirteçlerin şifresini çözmek için kullanılan standart x509 sertifikalardır.

Varsayılan olarak, AD FS otomatik olarak belirteç imzalama ve belirteç şifre çözme sertifikaları oluşturmak üzere yapılandırılır ve bu, hem ilk yapılandırma zamanında hem de sertifikaların sona erme tarihine yaklaştığı zaman.

Azure AD, Federasyon hizmeti meta verilerinizden geçerli sertifikanın süresi dolmadan 30 gün önce yeni bir sertifika almaya çalışır. Bu sırada yeni bir sertifika kullanılamadığı durumlarda Azure AD, verileri düzenli aralıklarla izlemeye devam edecektir. Yeni sertifika meta verilerde kullanılabilir duruma geldiğinde, etki alanının Federasyon ayarları yeni sertifika bilgileriyle güncelleştirilir. Get-MsolDomainFederationSettingsYeni sertifikayı NextSigningCertificate/SigningCertificate içinde görmediğinizi doğrulamak için ' i kullanabilirsiniz.

AD FS 'de belirteç Imzalama sertifikaları hakkında daha fazla bilgi için bkz. AD FS Için belirteç imzalama ve belirteç şifre çözme sertifikaları alma ve yapılandırma