Azure 配置管理系列AD FS(PART1)

Azure 配置管理系列AD FS(PART3)

替换令牌签名和令牌解密证书

令牌签名和令牌解密证书通常是有效期为一年的自签名证书,其日期为安装主AD FS服务器的时间。这些证书将要过期时,Office 365门户将警告您,并且用户对所有Office 365服务的访问将失败。

 

默认情况下,令牌签名和令牌解密证书将在设置ADFS一年后过期。即将到期时,您将在Portal Admin页面上收到以下通知。

此通知不适用于SSL证书,也称为服务通信证书。

天数表示服务将停止的日期。由于证书变更。

如何计算有效日期:

新证书将在证书到期日期前20天生成:

1)转到Powershell 

2)Connect-MsolService

3)Get-MsolFederationProperty

4)检查[CertificateGenerationThreshold:20]

新证书将在5天后提升为“主要”证书:

1)转到Powershell 

2)Connect-MsolService

3)Get-MsolFederationProperty

4)检查[CertificatePromotionThreshold:5]

知道AD FS服务仅使用主证书,因为我们将在当前主证书到期前15天切换证书,因此该服务将在当前证书到期前15天停止。

如果依赖方已在新证书创建和升级之间的5天内进行了更新,则情况并非如此。

例:

证书于2019年1月30日到期。

新证书将被标记为次证书[到期前20天]。

2019年1月15日,二级证书升格为一级[新证书生成后5天]。

如果我们在2019年5月1日当天在门户上看到该消息,则应通知该服务将在10天内停止(如果未更新联盟元数据信息)。

ADFS的默认配置:

AD FS上有关令牌签名和令牌解密证书的默认配置包括自动续订过程[AutoCertificateRollover]。

如果您没有将此值从“ True”更改为“ False”,则无需进行有关令牌证书的续订操作,这将根据以下说明的触发条件自动进行。

ADFS的默认值-[请参阅下面的详细信息以获取默认值]:

AD FS服务每720分钟(12小时)检查一次过渡间隔。

如果现有的主证书(令牌签名或令牌解密)到期时间在CertificateGenerationThreshold值(20天)的窗口内,则将生成一个新证书并将其配置为辅助证书。

在事件日志中由事件ID 335指出:在观察到CertificatePromotionThreshold值(5天)之前,它将保留为辅助证书。因此,在创建证书后的5天,它将升级该证书,并将现有的主要证书配置为次要证书,直到观察到下一个CertificateGenerationThreshold窗口为止。

事件发生后,令牌服务将使用新的主证书对所有已发行的令牌进行签名/加密。

这不会导致AD FS 2.0的服务中断,但是会在收到令牌并使用预期证书以外的其他内容进行签名时引发应用程序问题。对于O365或任何其他应用程序都是如此。

启用AutoCertificateRollover后,AD FS 2.0将继续按预期运行。

验证您的ADFS配置:

要验证您的配置,请连接到主ADFS服务器,然后按照以下PowerShell说明进行操作:

打开Windows PowerShell的

Add-PSSnapin Microsoft.ADFS.PowerShell 

Get-ADFSProperties

CertificateCriticalThreshold:2-证书过期之前的几天,如果AutoCertificateRollover并非自然执行,则在生成和升级新证书之前。

CertificateDuration:365-自动生成的证书的有效期。

CertificateGenerationThreshold:20-当前主证书到期前几天,将生成一个新证书。

CertficatePromotionThreshold:5-新生成的证书将存在的天数,然后从辅助证书升级为主要证书。

CertificateRolloverInterval:720-检查是否需要生成新证书的时间间隔(以分钟为单位)。

CertificateThresholdMulitplier:1440-用于计算其他阈值计数器的分钟数(默认值为1440分钟或24小时X 60分钟,这使阈值等于整天)

 

要使用ADFS进行单点登录,需要使用在线平台更新联合身份验证证书。O365现在会定期定期通过公共元数据终结点自动从AD FS服务器提取证书。

如何启用和立即使用AutoCertificateRollover

如果您过去曾经关闭过AutoCertificateRollover,并且想重新打开它,则需要考虑以下几点

  • 通过PowerShell重新打开AutoCertificateRollover不会立即导致自签名证书的生成

  • 仅当满足现有证书的关键阈值(接近到期)时,才会生成自签名证书

  • 有一种方法可以立即导致生成自签名证书,但这将导致合作伙伴服务中断,直到从您的联盟元数据中刷新它们为止。我们建议您下班后生成证书以避免中断。或者,您可以与合作伙伴紧密合作,以确保他们准备好通过联盟元数据立即进行更新(造成短暂中断)。

Azure 配置管理系列AD FS(PART1)

Azure 配置管理系列AD FS(PART3)