Azure AD FS 证书配置(PART1)
替换令牌签名和令牌解密证书
令牌签名和令牌解密证书通常是有效期为一年的自签名证书,其日期为安装主AD FS服务器的时间。这些证书将要过期时,Office 365门户将警告您,并且用户对所有Office 365服务的访问将失败。
![clip_image001[21]](https://img2018.cnblogs.com/blog/1015389/202003/1015389-20200303165651265-608485030.png "clip_image001[21]")
默认情况下,令牌签名和令牌解密证书将在设置ADFS一年后过期。即将到期时,您将在Portal Admin页面上收到以下通知。
此通知不适用于SSL证书,也称为服务通信证书。
天数表示服务将停止的日期。由于证书变更。
如何计算有效日期:
新证书将在证书到期日期前20天生成:
1)转到Powershell
2)Connect-MsolService
3)Get-MsolFederationProperty
4)检查[CertificateGenerationThreshold:20]
新证书将在5天后提升为“主要”证书:
1)转到Powershell
2)Connect-MsolService
3)Get-MsolFederationProperty
4)检查[CertificatePromotionThreshold:5]
知道AD FS服务仅使用主证书,因为我们将在当前主证书到期前15天切换证书,因此该服务将在当前证书到期前15天停止。
如果依赖方已在新证书创建和升级之间的5天内进行了更新,则情况并非如此。
例:
证书于2019年1月30日到期。
新证书将被标记为次证书[到期前20天]。
2019年1月15日,二级证书升格为一级[新证书生成后5天]。
如果我们在2019年5月1日当天在门户上看到该消息,则应通知该服务将在10天内停止(如果未更新联盟元数据信息)。
ADFS的默认配置:
AD FS上有关令牌签名和令牌解密证书的默认配置包括自动续订过程[AutoCertificateRollover]。
如果您没有将此值从“ True”更改为“ False”,则无需进行有关令牌证书的续订操作,这将根据以下说明的触发条件自动进行。
ADFS的默认值-[请参阅下面的详细信息以获取默认值]:
AD FS服务每720分钟(12小时)检查一次过渡间隔。
如果现有的主证书(令牌签名或令牌解密)到期时间在CertificateGenerationThreshold值(20天)的窗口内,则将生成一个新证书并将其配置为辅助证书。
在事件日志中由事件ID 335指出:在观察到CertificatePromotionThreshold值(5天)之前,它将保留为辅助证书。因此,在创建证书后的5天,它将升级该证书,并将现有的主要证书配置为次要证书,直到观察到下一个CertificateGenerationThreshold窗口为止。
事件发生后,令牌服务将使用新的主证书对所有已发行的令牌进行签名/加密。
这不会导致AD FS 2.0的服务中断,但是会在收到令牌并使用预期证书以外的其他内容进行签名时引发应用程序问题。对于O365或任何其他应用程序都是如此。
启用AutoCertificateRollover后,AD FS 2.0将继续按预期运行。
验证您的ADFS配置:
要验证您的配置,请连接到主ADFS服务器,然后按照以下PowerShell说明进行操作:
打开Windows PowerShell的
Add-PSSnapin Microsoft.ADFS.PowerShell
Get-ADFSProperties
CertificateCriticalThreshold:2-证书过期之前的几天,如果AutoCertificateRollover并非自然执行,则在生成和升级新证书之前。
CertificateDuration:365-自动生成的证书的有效期。
CertificateGenerationThreshold:20-当前主证书到期前几天,将生成一个新证书。
CertficatePromotionThreshold:5-新生成的证书将存在的天数,然后从辅助证书升级为主要证书。
CertificateRolloverInterval:720-检查是否需要生成新证书的时间间隔(以分钟为单位)。
CertificateThresholdMulitplier:1440-用于计算其他阈值计数器的分钟数(默认值为1440分钟或24小时X 60分钟,这使阈值等于整天)
要使用ADFS进行单点登录,需要使用在线平台更新联合身份验证证书。O365现在会定期定期通过公共元数据终结点自动从AD FS服务器提取证书。
如何启用和立即使用AutoCertificateRollover
如果您过去曾经关闭过AutoCertificateRollover,并且想重新打开它,则需要考虑以下几点
- 通过PowerShell重新打开AutoCertificateRollover不会立即导致自签名证书的生成
- 仅当满足现有证书的关键阈值(接近到期)时,才会生成自签名证书
- 有一种方法可以立即导致生成自签名证书,但这将导致合作伙伴服务中断,直到从您的联盟元数据中刷新它们为止。我们建议您下班后生成证书以避免中断。或者,您可以与合作伙伴紧密合作,以确保他们准备好通过联盟元数据立即进行更新(造成短暂中断)。
如果您决定让现有证书达到关键阈值,而不是调用证书生成过程,则只需要重新启用AutoCertificateRollover。
如果您决定要立即生成新的自签名证书,则需要首先重新启用AutoCertificateRollover,然后发出PowerShell命令来调用立即生成证书。
使用PowerShell命令重新启用
AutoCertificateRollover: Add-PSSnapin Microsoft.Adfs.Powershell Set-ADFSProperties -AutoCertificateRollover $ true PowerShell命令立即生成新的自签名证书: Add-PSSnapin Microsoft.Adfs.Powershell Update-AdfsCertificate
注意:更新令牌解密或令牌签名证书时会导致AD FS服务中断,因为中继方必须更新其配置才能获得新证书。当用户受中断影响最小时,请执行此工作。
在续订令牌签名和令牌解密证书之前,我建议您延长自签名证书的AD FS证书生存期。
- 登录到主AD FS服务器并打开提升的PowerShell提示。运行以下命令,以配置AD FS服务器以生成持续10年的自签名令牌签名和令牌解密证书,并启用自动证书回滚:
Set-ADFSProperties CertificateDuration 3650 -AutoCertificateRollover $ true
- 这些cmdlet将生成新的自签名令牌签名和令牌解密证书,这些证书将立即升级,然后再次禁用自动证书回滚。中继合作伙伴将需要更新其元数据以接受新签署的声明:
Update-AdfsCertificate -CertificateType Update-AdfsCertificate -CertificateType Set-ADFSProperties -AutoCertificateRollover $ false
- 使用Windows Azure PowerShell更新Office 365元数据:
Connect-MsolService
Update-MsolFederatedDomain -DomainName domain.com -SupportMultipleDomain
Connect-MsolService
Update-MsolFederatedDomain -DomainName domain.com -SupportMultipleDomain
![clip_image002[22]](https://img2018.cnblogs.com/blog/1015389/202003/1015389-20200303165651980-651010800.png "clip_image002[22]")
- 如果使用其他中继方元数据,则需要对其进行更新。例如,Microsoft必须通过在Office 365门户中打开支持凭单来手动更新Yammer本地(不是Office 365)。您将需要向他们提供令牌签名和令牌解密证书(减去私钥)。
关于WAP服务器的说明
如果您的组织使用Windows应用程序代理(WAP)服务器进行AD FS部署,则无需执行其他有关令牌签名和令牌解密证书的事情。WAP服务器仅使用服务通信SSL证书。
Azure 配置管理系列AD FS(PART1)