Обновление TLS- и SSL-сертификатов для фермы службы федерации Active Directory (AD FS)
Обзор
В этой статье описывается, как использовать Microsoft Entra Подключение для обновления TLS/SSL-сертификата для фермы службы федерации Active Directory (AD FS) (AD FS). С помощью средства Microsoft Entra Подключение можно легко обновить TLS/SSL-сертификат для фермы AD FS, даже если выбранный метод входа пользователя не является AD FS.
Операцию обновления TLS- или SSL-сертификата для фермы AD FS во всей федерации и на серверах прокси-службы веб-приложения (WAP) можно полностью выполнить за три простых шага.
Примечание.
Дополнительные сведения о сертификатах, используемых службами AD FS, см. в статье Общее представление о сертификатах, используемых службами федерации Active Directory.
Необходимые компоненты
- Ферма AD FS. Убедитесь, что ферма AD FS работает под управлением Windows Server 2012 R2 или более поздней версии.
- Microsoft Entra Подключение. Убедитесь, что версия Microsoft Entra Подключение — 1.1.553.0 или более поздней. Вы используете задачу Обновление SSL-сертификата AD FS.
Шаг 1. Предоставление сведений о ферме AD FS
Microsoft Entra Подключение пытается автоматически получить сведения о ферме AD FS:
- Запросив сведения о ферме из AD FS (Windows Server 2016 или более поздней версии).
- Ссылка на сведения из предыдущих запусков, которые хранятся локально с помощью Microsoft Entra Подключение.
Отображаемый список серверов можно изменить путем добавления или изменения серверов в соответствии с текущей конфигурацией фермы AD FS. После предоставления сведений о сервере Microsoft Entra Подключение отображает состояние подключения и текущего tls/SSL-сертификата.
Если в списке содержится сервер, который больше не является частью фермы AD FS, щелкните Удалить, чтобы удалить его из списка серверов в ферме AD FS.
Примечание.
Удаление сервера из списка серверов для фермы AD FS в Microsoft Entra Подключение является локальной операцией и обновляет сведения для фермы AD FS, которую microsoft Entra Подключение поддерживает локально. Microsoft Entra Подключение не изменяет конфигурацию в AD FS, чтобы отразить это изменение.
Шаг 2. Указание нового сертификата TLS или SSL
После подтверждения сведений о серверах фермы AD FS Microsoft Entra Подключение запрашивает новый TLS/SSL-сертификат. Чтобы продолжить установку, укажите защищенный паролем PFX-сертификат.
После предоставления сертификата Microsoft Entra Подключение пройти ряд предварительных требований. Проверьте, что указан правильный сертификат для фермы AD FS.
- Имя субъекта или альтернативное имя субъекта сертификата совпадает с именем службы федерации или является именем группового сертификата.
- Сертификат действителен в течение более чем 30 дней.
- Цепь доверия сертификатов является допустимой.
- Сертификат защищен паролем.
Шаг 3. Выбор серверов для обновления
На следующем шаге выберите серверы, для которых необходимо обновить сертификат. Серверы, которые находятся в автономном режиме, выбирать нельзя.
После завершения настройки Microsoft Entra Подключение отображает сообщение, указывающее состояние обновления и предоставляющее возможность проверить вход AD FS.
Вопросы и ответы по
Что должно собой представлять имя субъекта сертификата для нового TLS- или SSL-сертификата AD FS?
Microsoft Entra Подключение проверка, если имя субъекта или альтернативное имя субъекта сертификата содержит имя службы федерации. Например, если имя службы федерации — fs.contoso.com, именем субъекта или альтернативным именем субъекта должно быть fs.contoso.com. Поддерживаются также групповые сертификаты.
Почему на странице сервера WAP появляется повторный запрос на ввод учетных данных?
Если учетные данные, предоставляемые для подключения к серверам AD FS, также не имеют привилегий для управления серверами WAP, Microsoft Entra Подключение запрашивает учетные данные, имеющие права администратора на серверах WAP.
Сервер находится в автономном режиме. Что делать?
Microsoft Entra Подключение не может выполнять никаких операций, если сервер находится в автономном режиме. Если сервер является частью фермы AD FS, проверьте подключение к нему. Устранив проблему, щелкните значок обновления, чтобы изменить состояние в мастере. Если сервер был частью фермы, но теперь больше не существует, нажмите кнопку "Удалить", чтобы удалить ее из списка серверов, которые поддерживает Microsoft Entra Подключение. Удаление сервера из списка в Microsoft Entra Подключение не изменяет саму конфигурацию AD FS. При использовании AD FS в Windows Server 2016 или более поздней версии сервер останется в параметрах конфигурации и отобразится при следующем запуске задачи.
Можно ли обновить подмножество серверов фермы с помощью нового TLS- или SSL-сертификата?
Да. Задачу Обновить SSL-сертификат можно запускать повторно, чтобы обновить оставшиеся серверы. На странице Выберите серверы, на которых нужно обновить SSL-сертификат можно отсортировать список серверов на странице Срок действия SSL, чтобы без труда обращаться к серверам, которые пока не обновлены.
Сервер был удален во время предыдущего запуска, но он по-прежнему отображается как находящийся вне сети и указан на странице серверов AD FS. Почему этот автономный сервер по-прежнему существует даже после удаления?
Удаление сервера из списка в Microsoft Entra Подключение не удаляет его в конфигурации AD FS. Microsoft Entra Подключение ссылается на AD FS (Windows Server 2016 или более поздней версии) для получения сведений о ферме. Если сервер по-прежнему присутствует в конфигурации AD FS, он будет указан в списке.