更新 Active Directory 联合身份验证服务 (AD FS) 场的 TLS/SSL 证书
概述
本文介绍如何使用 Microsoft Entra Connect 更新 Active Directory 联合身份验证服务 (AD FS) 场的 TLS/SSL 证书。 即使所选的用户登录方法不是 AD FS,也可以使用 Microsoft Entra Connect 工具轻松更新 AD FS 场的 TLS/SSL 证书。
可以通过三个简单步骤在所有联合服务器和 Web 应用程序代理 (WAP) 服务器上执行整个更新 AD FS 场的 TLS/SSL 证书的操作:
注意
若要详细了解 AD FS 所使用的证书,请参阅了解 AD FS 所使用的证书。
先决条件
- AD FS 场:确保 AD FS 场基于 Windows Server 2012 R2 或更高版本。
- Microsoft Entra Connect:确保 Microsoft Entra Connect 的版本为 1.1.553.0 或更高版本。 将使用任务“更新 AD FS SSL 证书” 。
步骤 1:提供 AD FS 场信息
Microsoft Entra Connect 会尝试通过以下方式自动获取有关 AD FS 场的信息:
- 从 AD FS(Windows Server 2016 或更高版本)查询场信息。
- 参考之前运行的信息(通过 Microsoft Entra Connect 存储在本地)。
可以根据 AD FS 场的当前配置添加或删除服务器,以修改显示的服务器列表。 只要提供了服务器信息,Microsoft Entra Connect 就会显示连接情况和当前的 TLS/SSL 证书状态。
如果列表中包含的服务器不再属于 AD FS 场,则可单击“删除” 将该服务器从 AD FS 场的服务器列表中删除。
注意
从 Microsoft Entra Connect 的 AD FS 场的服务器列表中移除服务器属于本地操作,更新的是 Microsoft Entra Connect 保留在本地的 AD FS 场的信息。 Microsoft Entra Connect 不会根据所做的更改修改 AD FS 的配置。
步骤 2:提供新的 TLS/SSL 证书
确认有关 AD FS 场服务器的信息后,Microsoft Entra Connect 会要求提供新的 TLS/SSL 证书。 请提供受密码保护的 PFX 证书以继续安装。
提供证书后,Microsoft Entra Connect 将进行一系列先决条件检查。 验证证书,确保 AD FS 场的证书正确:
- 证书的使用者名称/备用使用者名称与联合身份验证服务名称相同,或者证书是通配符证书。
- 证书的有效期超过 30 天。
- 证书信任链有效。
- 证书受密码保护。
步骤 3:选择要更新的服务器
在下一步中,选择需要更新 TLS/SSL 证书的服务器。 不能选择脱机的服务器进行更新。
完成配置后,Microsoft Entra Connect 会显示一条指示更新状态的消息,并会提供一个验证 AD FS 登录的选项。
常见问题
对于新的 AD FS TLS/SSL 证书,证书的使用者名称应该是什么?
Microsoft Entra Connect 会检查证书的使用者名称/备用使用者名称是否包含联合身份验证服务名称。 例如,如果联合身份验证服务名称为 fs.contoso.com,则使用者名称/备用使用者名称必须为 fs.contoso.com。 也接受通配符证书。
为什么在 WAP 服务器页上又要求我提供凭据?
如果连接到 AD FS 服务器时提供的凭据也没有管理 WAP 服务器的特权,则 Microsoft Entra Connect 会要求用户提供在 WAP 服务器上具有管理特权的凭据。
该服务器会显示为脱机。 我该怎么办?
如果服务器处于脱机状态,Microsoft Entra Connect 将无法执行任何操作。 如果该服务器属于 AD FS 场,则检查与该服务器的连接。 解决该问题之后,请按“刷新”图标以更新向导中的状态。 如果服务器此前属于场,但现在不再存在,请单击“移除”,将其从 Microsoft Entra Connect 保留的服务器列表中移除。 从 Microsoft Entra Connect 的列表中移除服务器不会变更 AD FS 本身的配置。 如果使用的是 Windows Server 2016 或更高版本中的 AD FS,该服务器将保留在配置设置中,并会在下次运行此任务时再次显示该服务器。
能否使用新的 TLS/SSL 证书更新一部分场服务器?
是的。 始终可以再次运行“更新 SSL 证书”任务 ,以更新剩余的服务器。 在“选择要更新 SSL 证书的服务器” 页上,可以根据“SSL 到期日期” 对服务器列表进行排序,以轻松访问尚未更新的服务器。
我在上次运行时删除了服务器,但该服务器仍显示为脱机并且在“AD FS 服务器”页中列出。 为什么该脱机服务器在删除后仍显示在那儿?
从 Microsoft Entra Connect 的列表中移除服务器并不会将其从 AD FS 配置中移除。 Microsoft Entra Connect 引用 AD FS(Windows Server 2016 或更高版本)中有关场的任何信息。 如果服务器仍在 AD FS 配置中,它会重回列表中。