Wenn Sie ADFS einrichten (Active Directory-Verbunddienste) Um die Benutzer Ihrer Domain in Office365 zu authentifizieren, benötigen Sie ein Zertifikat, das von beiden Servern / Diensten als vertrauenswürdig eingestuft wird, um die Kommunikation zwischen Ihrem ADFS-Dienst und Office365 aufrechtzuerhalten. Natürlich können von einer öffentlichen Zertifizierungsstelle generierte Zertifikate verwendet werden, che tornano anche più comodi visto che sono di per se già trustati da entrambe le parti, ma è anche possibile utilizzare certificati self signed; il problema è che i certificati hanno una scadenza dopo la quale non sono più validi e quindi si rischia di interrompere la comunicazione tra i due siti.
Prämisse: qualsiasi operazione di cui parlerò in questo articolo va eseguita sul server ADFS principale.
Cosa bisogna fare quando il certificato utilizzato sta per scadere? Rinnovarlo prima che scada ovviamente 🙂 e dato che ci si potrebbe dimenticare (office 365 comunque vi avvisa) la cosa più comoda è abilitare l’auto rinnovo.
Überprüfen Sie zunächst, ob der automatische Zertifikats-Rollover aktiviert ist, von Powershell geben Sie diese beiden Befehle:
PSC: Windows system32> Add-PSSnapin microsoft.adfs.powershell
PSC: Windows system32> Get-ADFSProperties
Der Befehl sollte ähnliche Daten zurückgeben:
AutoCertificateRollover : Wahr
CertificateCriticalThreshold : 2
CertificateDuration : 365
CertificateGenerationThreshold : 20
CertificatePromotionThreshold : 5
CertificateRolloverInterval : 720
Das erste Element gibt an, ob der automatische Rollover aktiviert ist oder nicht, Wenn dies nicht der Fall ist, können Sie es aktivieren:
Set-ADFSProperties -AutoCertificateRollover $ true
Die anderen Elemente zeigen andere interessante Parameter an:
CertificateGenerationThreshold: Gibt an, wie viele Tage vor Ablauf des Zertifikats Ihr ADFS-Server selbst ein neues Zertifikat generiert
CertificatePromotionThreshold: Wie viele Tage vor Ablauf des Zertifikats erfolgt die Heraufstufung vom sekundären zum primären Zertifikat? (Ja, denn wenn der automatische Rollover ein neues Zertifikat generiert, ersetzt er nicht das Hauptzertifikat, sondern erstellt ein sekundäres Zertifikat, das so neben dem Hauptzertifikat verläuft, dass, Bevor der Auftraggeber abläuft, wird das neue Zertifikat rechtzeitig von office365 erkannt und dann zum primären Zertifikat befördert)
CertificateRolloverInterval: Gibt an, wie viele Minuten der ADFS-Dienst prüft, ob neue Zertifikate generiert werden sollen
CertificateCriticalThreshold: Gibt an, wie viele Tage vor dem Ablauf adfs die Generierung eines neuen Zertifikats erzwingt, auch wenn keine Zeit zum Replizieren auf den office365-Diensten vorhanden ist (Extremfall)
Hier finden Sie die offizielle Seite mit allen Parametern und Eigenschaften von adfs: http://social.technet.microsoft.com/wiki/contents/articles/16156.ad-fs-2-0-understanding-autocertificaterollover-threshold-properties.aspx
Ein weiterer sehr nützlicher Befehl ist das Aktualisieren, wenn Sie die Erstellung eines neuen Zertifikats erzwingen möchten:
Update-ADFSCertificate
Zu diesem Parameter können Sie möglicherweise den Parameter -Urgent hinzufügen, jedoch sehr sorgfältig, da das neue Zertifikat direkt als primär festgelegt wird. Wenn die Informationen / Metadaten / Zertifikate nicht sofort an office365 übermittelt werden, verlieren wir die Authentifizierung, weiter lesen…
Nun haben wir gesehen, wie man die Parameter ändert und wie man auf der ADFS-Seite neue Zertifikate generiert…. Wenn wir jedoch das primäre Zertifikat ändern und es nicht an office365 weitergeben, wird das Zertifikat offensichtlich nicht als gültig angesehen und daher wird alles blockiert (oder die Benutzer werden nicht mehr authentifiziert). So übertragen Sie die Metadaten möglicherweise automatisch an office365? Glücklicherweise hilft uns Microsoft mit diesem Skript:
https://gallery.technet.microsoft.com/scriptcenter/Office-365-Federation-27410bdc
ist ein Powershell-Skript, Sie müssen es herunterladen und ausführen, Sie müssen einen Administratorbenutzer aus der lokalen Domäne und einen Administratorbenutzer aus office365 haben, Ich bringe Ihnen alle Voraussetzungen, nichts besonders komplexes, aber stellen Sie sicher, dass Sie alle haben:
So führen Sie dieses Tool erfolgreich aus:
- Sie müssen sicherstellen, dass Sie die neueste Version von installiert haben Microsoft Online Services-Modul für Windows PowerShell
- Sie benötigen einen funktionierenden AD FS 2.0 Föderationsdienst
- Sie müssen Zugriff auf die Anmeldeinformationen des globalen Administrators für Ihren Office 365-Mandanten haben
- Sie müssen mindestens eine verifizierte Domäne im Office 365-Mandanten vom Typ "Verbund" haben’
- Dieses Tool muss auf einem beschreibbaren Federation Server ausgeführt werden
- Der aktuell angemeldete Benutzer muss Mitglied der lokalen Administratorgruppe sein
- Das Microsoft Online Services-Modul für Windows PowerShell muss installiert sein. Sie können das Modul von herunterladen http://onlinehelp.microsoft.com/en-us/office365-enterprises/ff652560.aspx
Ok, wenn wir mit den Voraussetzungen einverstanden sind, können wir das Skript ausführen, das Sie nach den beiden Anmeldeinformationen fragt (vor Ort e office365) und am Ende der Ausführung wird ein Skript in C generiert: Office365-Scripts und es wird automatisch eine geplante Aufgabe erstellt, die das Skript jeden Tag ausführt. Dieses Skript übernimmt die Übertragung aller Änderungen der Metadaten einschließlich der Änderungen an den Zertifikaten an office365; Auf diese Weise sind wir sicher, dass jeden Tag eine Synchronisation zwischen dem, was wir auf dem ADFS-Server haben, und dem, was wir auf Office365 haben, stattfinden wird. Auf diese Weise haben wir den Kreis bezüglich der Verwaltung des AutoCertificateRollover geschlossen.
Aus Gründen der Übersichtlichkeit fasse ich kurz zusammen, wie die gesamte Runde mit dem konfigurierten automatischen Rollover funktionieren soll:
1) Wenn Sie zu dem durch den Parameter definierten Begriff gelangen CertificateGenerationThreshold Es wird ein neues Zertifikat generiert, das als sekundär festgelegt wird
2) Dieses neue Zertifikat wird dank der geplanten Aufgabe, mit der das in C enthaltene Skript ausgeführt wird, automatisch an office365 übermittelt / übertragen: Office365-Skripte jeden Tag und von da an wird es von office365 als gültig akzeptiert
3) Am Ende durch den Parameter definiert CertificatePromotionThreshold Das sekundäre Zertifikat wird zum Hauptzertifikat und wird tatsächlich für die Kommunikation und Authentifizierung zwischen adfs und office365 verwendet. Es wird von Office 365 als gültig angesehen, da “kennt ihn schon”