Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
En este artículo se describen las tareas y los procedimientos que garantizan que los certificados de firma y descifrado de tokens de AD FS están actualizados.
Los certificados de firma de tokens son certificados X509 estándar usados para firmar de forma segura todos los tokens que emite el servidor de federación. Los certificados de descifrado de tokens son certificados X509 estándar usados para descifrar los tokens entrantes. También se publican en metadatos de federación.
Para obtener más información, consulte Requisitos de certificado.
Determinación de si AD FS renueva automáticamente los certificados
De manera predeterminada, AD FS está configurado para generar automáticamente los certificados de firma de tokens y de descifrado de tokens. La generación tiene lugar tanto durante la configuración inicial como cuando los certificados se acercan a su fecha de caducidad.
Puede ejecutar el siguiente comando de Windows PowerShell: Get-AdfsProperties.
La propiedad AutoCertificateRollover describe si AD FS está configurado para renovar automáticamente la firma de tokens y el descifrado de tokens.
Si AutoCertificateRollover se establece Trueen , los certificados de AD FS se renuevan y configuran automáticamente en AD FS. Una vez configurado el nuevo certificado, debe asegurarse de que cada asociado de federación se actualice con este nuevo certificado para evitar una interrupción. El asociado de federación se representa en la granja de AD FS mediante relaciones de confianza para usuario autenticado o relaciones de confianza para proveedor de notificaciones.
Si AD FS no está configurado para renovar la firma de tokens y descifrar los certificados automáticamente (por ejemplo, si AutoCertificateRollover está establecido Falseen ), AD FS no genera ni usa automáticamente la firma de tokens o el descifrado de tokens nuevos. Tendrá que realizar estas tareas manualmente.
Si AD FS está configurado para renovar la firma de tokens y descifrar los certificados automáticamente (AutoCertificateRollover está establecido Trueen ), puede determinar cuándo se renuevan:
CertificateGenerationThreshold describe cuántos días antes de la fecha no posterior del certificado se genera un nuevo certificado.
CertificatePromotionThreshold determina cuántos días después del nuevo certificado se genera que se promueve para que sea el certificado principal. AD FS usa CertificatePromotionThreshold para firmar tokens que emite y descifra tokens procedentes de proveedores de identidades.
Determinación de la fecha de expiración de los certificados actuales
Puede usar el procedimiento siguiente para identificar los certificados de firma y descifrado de tokens y para determinar cuándo expiran los certificados actuales.
Puede ejecutar el comando de Windows PowerShell siguiente: Get-AdfsCertificate –CertificateType token-signing (o Get-AdfsCertificate –CertificateType token-decrypting). También puede examinar los certificados actuales en MMC: Servicio->Certificados.
AD FS usa el certificado para el que el valor IsPrimary se establece en True.
La fecha que se muestra para Not After es la fecha por la que se debe configurar una nueva firma de token principal o un certificado de descifrado.
Para garantizar la continuidad del servicio, todos los asociados de la federación deben consumir los nuevos certificados de firma y descifrado de tokens antes de esta expiración. El asociado de federación se representa en la granja de AD FS mediante relaciones de confianza para usuario autenticado o relaciones de confianza para proveedor de notificaciones. Debe planear este proceso con al menos 60 días de antelación.
Generación manual de un nuevo certificado autofirmado antes de que finalice el período de gracia
Puede generar un certificado autofirmado nuevo de forma manual antes del final del período de gracia mediante los pasos siguientes:
- Compruebe que ha iniciado sesión en el servidor de AD FS principal.
- Abra Windows PowerShell y ejecute el siguiente comando:
Add-PSSnapin "microsoft.adfs.powershell". - Puede comprobar los certificados de firma actuales en AD FS. Para ello, ejecute el siguiente comando:
Get-ADFSCertificate –CertificateType token-signing. Examine la salida del comando para ver las fechas no posteriores de los certificados enumerados. - Para generar un certificado nuevo, ejecute el comando siguiente para renovar y actualizar los certificados en el servidor de AD FS:
Update-ADFSCertificate –CertificateType token-signing. - Vuelva a ejecutar el comando siguiente para comprobar la actualización:
Get-ADFSCertificate –CertificateType token-signing. - Ahora se deben enumerar dos certificados. Uno debe tener una fecha No después de aproximadamente un año en el futuro. El otro debe tener el valor IsPrimaryFalse.
Important
Para evitar una interrupción del servicio, actualice la información del certificado en Microsoft Entra ID con un certificado de firma de tokens válido.
Si no usa certificados autofirmados
Si no usa los certificados predeterminados de firma y descifrado de tokens autofirmados y generados automáticamente, debe renovar y configurar estos certificados manualmente.
En primer lugar, debe obtener un certificado nuevo de la entidad de certificación e importarlo en el almacén de certificados personales del equipo local en cada servidor de la federación. Para obtener instrucciones, consulte Importación de un certificado.
Después, debe configurarlo como certificado de firma o descifrado de tokens de AD FS secundario. Puede configurarlo como un certificado secundario para permitir a los asociados de la federación tiempo suficiente para consumir este certificado nuevo antes de promoverlo a certificado principal.
Configuración de un nuevo certificado como certificado secundario
- Abra PowerShell y ejecute
Set-ADFSProperties -AutoCertificateRollover $false. - Una vez que hayas importado el certificado. Abra la consola Administración de AD FS.
- Expanda Servicio y, a continuación, seleccione Certificados.
- En el panel Acciones , seleccione Agregar Token-Signing certificado.
- Seleccione el nuevo certificado en la lista de certificados mostrados y, a continuación, seleccione Aceptar.
- Abra PowerShell y ejecute
Set-ADFSProperties -AutoCertificateRollover $true.
Warning
Asegúrese de que el nuevo certificado tiene una clave privada asociada y de que a la cuenta de servicio de AD FS se le conceden permisos de lectura a la clave privada. Compruebe esto con cada servidor de federación. Para ello, en el complemento Certificados, haga clic con el botón derecho en el nuevo certificado, elija Todas las tareas y, a continuación, seleccione Administrar claves privadas.
Los asociados de federación consumen los nuevos certificados mediante la extracción de los metadatos de federación o la recepción de la clave pública de su nuevo certificado. Una vez que haya permitido tiempo suficiente para que los asociados de la federación consuman el certificado nuevo, debe promover el certificado secundario a certificado principal.
Promover el nuevo certificado de la base de datos secundaria a la principal
Abra la consola Administración de AD FS.
Expanda Servicio y, a continuación, seleccione Certificados.
Seleccione el certificado secundario de firma de los tokens.
En el panel Acciones , seleccione Establecer como principal. Seleccione Sí en el mensaje de confirmación.
Actualización de asociados de federación
Debe actualizar los asociados de federación de forma diferente, en función de si pueden consumir metadatos de la federación.
Asociados que pueden consumir metadatos de la federación
Cuando renueve y configure un nuevo certificado de firma o descifrado de tokens, debe asegurarse de que todos los asociados de la federación han seleccionado los nuevos certificados. Los asociados de la federación son asociados de organización de recursos o de organización de cuentas que están representados en AD FS mediante relaciones de confianza para usuario autenticado y relaciones de confianza para proveedor de notificaciones.
Asociados que no pueden consumir metadatos de la federación
Si los asociados de la federación no pueden consumir los metadatos de la federación, debe enviarles manualmente la clave pública del nuevo certificado de firma o descifrado de tokens. Envíe la nueva clave pública de certificado (archivo. cer o. p7b si desea incluir toda la cadena) a todos los asociados de la organización de recursos o de la organización de cuentas. La asociados de organización de recursos o de organización de cuentas están representados en AD FS mediante relaciones de confianza para usuario autenticado y relaciones de confianza para proveedor de notificaciones. Los asociados deben implementen los cambios en su lado para confiar en los nuevos certificados.
Promoción a principal si AutoCertificateRollover es False
Si AutoCertificateRollover está establecido Falseen , AD FS no genera ni usa automáticamente nuevos certificados de firma de tokens o descifrado de tokens. Tendrá que realizar estas tareas manualmente. Después de dejar transcurrir un período suficiente para que todos los asociados consuman el nuevo certificado secundario, promueva este certificado secundario a principal. En el complemento MMC, seleccione el certificado de firma de tokens secundario y, en el panel Acciones, seleccione Establecer como principal.
Actualizar el nombre de Microsoft Entra ID
AD FS proporciona acceso de inicio de sesión único a los servicios en la nube de Microsoft, como Office 365, mediante la autenticación de usuarios con sus credenciales de AD DS existentes. Para más información, consulte Renovación de certificados de federación para Office 365 y Microsoft Entra ID.