Office 365 ADFS-palvelun vanhenevat varmenteet

Office 365 voi ilmoittaa vanhenevista varmenteista hallintapaneelissa sekä lähettää sähköpostia ylläpitäjille. Ongelma liittyy identiteetin federoimisessa käytettäviin varmenteisiin, mutta virheilmoitus ei ole aivan selkeimmästä päästä. Tässä hieman avattuna mistä on kysymys.

Liittoutumispalvelun varmenne vanhenee

Office 365 palvelun identiteetin federointi tarvitsee toimiakseen kolme varmennetta. Yleensä kirjautumissivun (esimerkiksi https://adfs.firma.fi) käytössä oleva varmenne  on luotetulta varmentajalta hankittu ja sekä Token Signing että Token Encryption varmenteet ovat itseallekirjoitettuja (self-signed). Portaalissa näkyvä virheilmoitus liittyy Token Signing ja Token Encryption varmenteisiin, joten tässä artikkelissa keskitytään niihin.

Oletusasetuksilla asennettu ADFS-palvelu luo automaattisesti uudet Token Signing ja Token Encryption varmenteet niiden vanhentuessa. Varmenteiden oletusarvot ovat:

  • Varmenteet ovat voimassa vuoden
  • Uudet varmenteet luodaan 20 päivää ennen niiden vanhenemista
  • Luodut uudet varmenteet tulevat käyttöön viisi päivää ennen edellisten vanhenemista

Jotta uudet varmenteet toimisivat Office 365 palvelussa, niiden metatiedot täytyy päivittää Office 365 palveluun. Tämä tapahtuu normaalisti ADFS-palvelun käyttöönoton yhteydessä asennetulla skriptillä (Microsoft Office 365 Federation Metadata Update Automation). http://gallery.technet.microsoft.com/scriptcenter/Office-365-Federation-27410bdc
Skripti ajaa kerran päivässä Update-MSOLFederatedDomain –komentoa kaikille palvelussa federoituna oleville toimialueille. Kun ADFS-palvelu on luonut uudet varmenteet, ne päivittyvät palveluun noin 19 päivää ja tulevat käyttöön 5 päivää ennen edellisten varmenteiden vanhenemista.

Office 365 ilmoittaa hallintaportaalissa ja lähettää sähköpostia kuitenkin 45 päivää ennen varmenteen vanhenemista ja tämä saattaa aiheuttaa ihmetystä. Sinäänsä palvelu toimii oikein ja päivittää kyllä automaattisesti varmenteet kunhan ylläpitäjä jaksaa odottaa riittävän kauan. ADFS-palvelimen asetuksia säätämällä tästä varoituksesta on mahdollista päästä eroon.

Korjaus

Korjaavana lähestymistapana voidaan asettaa itseallekirjoitetut varmenteet olemaan voimassa esimerkiksi kolme vuotta ja/tai muuttaa ajanhetkeä jolloin uusi varmenne luodaan ja otetaan käyttöön. Kun varmenne otetaan käyttöön kaksi kuukautta ennen edellisen vanhenemista, mitään varoituksia ei pitäisi tulla automaation toimiessa oikein.

Seuraavilla toimilla varmenteet ovat käytössä kolme vuotta ja ne uusitaan 60 päivää ja otetaan käyttöön 50 päivää ennen vanhenemista. Lisäksi komennot luovat uudet varmenteet heti ja ne päivitetään käyttöön. Varmista ennen komentojen ajamista, että Microsoft Office 365 Federation Metadata Update Automation on asennettu ja toimii. Toimimisen voi varmistaa C:\Office365-Scripts\History.log -tiedostosta.

Komennot rikkovat hetkeksi federaation, joten työt kannattaa ajoittaa hiljaiseen aikaan.

Aja ensijaisella (primary) ADFS palvelimella PowerShell komennot:

Add-PSSnapin Microsoft.Adfs.Powershell
Set-ADFSProperties -AutoCertificateRollover $true -CertificateDuration 1095 -CertificateGenerationThreshold 60 -CertificatePromotionThreshold 50 -CertificateCriticalThreshold 5
Update-ADFSCertificate -Urgent:$true

Tämän jälkeen käynnistä Microsoft Office 365 Federation Metadata Update Automation –ajastettu tehtävä (Microsoft-Office365-Update-MSOLFederatedDomain), jotta varmenteet päivittyvät myös Office 365 palveluun.

Varmenteiden generoimiseen liittyviä aikoja voi asettaa mieleisikseen, kunhan pitää huolen että CertificatePromotionThreshold + CertificateCriticalThreshold on vähemmän kuin CertificateGenerationThreshold

HUOM: Jos samaa ADFS-palvelua käytetään myös muihin federaatioihin, tulee varmenteen vaihtuminen huomioida myös näissä palveluissa.

Tarkistaminen

Muutosten jälkeen on hyvä tarkistaa, että palvelu toimii. Käyttäjälähtöinen tarkastus on kirjautua palveluun federoidulla käyttäjätunnuksella.

Voit tutkia palvelussa olevia varmenteita ja niiden vanhenemisia Azure Active Directory PowerShell moduulilla komennolla:

Get-MsolFederationProperty -Domain firma.fi

Korvaa firma.fi omalla toimialueellasi. Ennen tätä komentoa, yhteys täytyy avata Azure AD:lle (Connect-MSOLService).

Azure Active Directory PowerShell moduuli löytyy asennettuna ensijaiselta ADFS-palvelimelta ja voit myös asentaa sen hallintatyöasemalle. Ohjeet moduulin asentamiseen ja käyttämiseen löytyvät TechNetistä: http://technet.microsoft.com/en-us/library/jj151815.aspx

Jaa tämä artikkeli:

Jaa Facebookissa Jaa Twitterissä Jaa Google+:ssa Jaa Pintrestissä Jaa LinkedIn:issä
Julkaistu kohteessa Pilvipalvelut, Teknologiat, Yleinen Merkitty: , ,

Kommentoi

Sähköpostiosoitettasi ei julkaista. Pakolliset kentät on merkitty *

*

Time limit is exhausted. Please reload CAPTCHA.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>