Wenn man ADFS 3.0 in Verbindung mit Office 356 nutzt und die Standardeinstellungen bei der Installation genutzt hat, wird man nach einem Jahr einen Hinweise bekommen, dass die ADFS 3.0 Zertifikate erneuert werden müssen.
Hierbei handelt es sich primär um die Zertifikate für die Tokenentschlüsselung und Tokensignatur. Diese ADFS 3.0 Zertifikate werden bei der Installation/Konfiguration von ADFS 3.0 automatisch generiert und für die Authentifizierung in Office 365 genutzt. Es handelt es sich hierbei also um self-signed Zertifikate.
Weiterhin wird bei der Standardinstallation die Einstellung gesetzt, dass die Zertifikate kurz vor ihrem Ablaufdatum durch neue ersetzt werden. Und genau diese Einstellung ist in Verwendung mit Office 365 ziemlich unpraktisch. Die Zertifikate werden zwar automatisch vor Ihrem Ablaufdatum erneuert, allerdings wurde Office 365 die neuen Zertifikate nicht „bekannt gebegeben“. Das hat zur Folge, dass ab dem automatischen Wechsel der Zertifikate die Authentifizierung in Office 365 nicht mehr funktioniert. Es können sich also keine Benutzer mehr anmelden, die sich in der mit Office 365 verbunden lokalen Domäne befinden. Eine Anmeldung ist nur noch mit einem „@onmicrosoftonline.com“ Konto möglich. Deshalb ist es wichtig, dass man immer ein solches Konto als Administrator zur Verfügung hat, um im absoluten Worst-Case nicht den kompletten Zugriff auf Office 365 zu verlieren.
Deshalb sollte man die automatische Erneuerung von Zertifikaten deaktivieren und die Aktualisierung der Zertifikate manuell durchführen. Damit kann man auch den Zeitpunkt des Wechsels genau steuern. Um dieses Feature zu aktivieren, muss man folgenden PowerShell-Befehl auf dem ADFS 3.0 Server ausführen:
Set-ADFSProperties -AutoCertificateRollover $false
Danach kann man Zertifikate manuell hinzufügen, löschen und die Reihenfolge ändern.
Bei den benutzten ADFS 3.0 Zertifikaten kann es sich wie schon beschrieben auch um self-signed Zertifikate handeln. Natürlich können auch „richtige“ Zertifikate genutzt werden, z.B. durch Einsatz einer internen Zertifizierungsstelle. Bei allen Typen ist allerdings zu beachten, dass die Zertifikate inkl. privatem Schlüssel auf dem Server hinterlegt bzw. importiert werden.
Sobald man die Zertifikate getauscht hat, ist keine Authentifizierung in Office 365 mehr möglich. Deshalb müssen die neuen Zertifikate auch Office 365 bekannt gemacht werden, damit die Authentifizierung wieder funktioniert. Dies geschieht über das Azure AD-Modul
(früher hatte es den Namen MSOL Services Module for Windows Powershell
). Damit kann man per PowerShell auf Office 365 zugreifen und muss separat installiert werden. Mehr Informationen zum Download und Installation findet ihr hier. Danach geschieht das Update mit folgenden Befehlen:
# Nachdem die Authentifizierung über ADFS nicht funktioniert, # muss hier der @onmicrosoftonline.com Benutzer genutzt werden $cred = Get-Credential Connect-MsolService -Credential $cred Update-MsolFederatedDomain -DomainName <Name der Domäne> -SupportMultiDomain
Der Parameter SupportMultiDomain
kann je nach Szenario auch weggelassen werden. Nachdem das Update erfolgreich ausgeführt wurde, kennt auch Office 365 die neuen Zertifikate und die Authentifizierung per ADFS ist ebenfalls wieder möglich.