Обновление TLS- и SSL-сертификатов для фермы службы федерации Active Directory (AD FS)
В этой статье описывается, как использовать Microsoft Entra Подключение для обновления TLS/SSL-сертификата для фермы службы федерации Active Directory (AD FS) (AD FS). С помощью средства Microsoft Entra Подключение можно легко обновить TLS/SSL-сертификат для фермы AD FS, даже если выбранный метод входа пользователя не является AD FS.
Операцию обновления TLS- или SSL-сертификата для фермы AD FS во всей федерации и на серверах прокси-службы веб-приложения (WAP) можно полностью выполнить за три простых шага.
Дополнительные сведения о сертификатах, используемых службами AD FS, см. в статье Общее представление о сертификатах, используемых службами федерации Active Directory.
Необходимые компоненты
- Ферма AD FS. Убедитесь, что ферма AD FS работает под управлением Windows Server 2012 R2 или более поздней версии.
- Microsoft Entra Подключение. Убедитесь, что версия Microsoft Entra Подключение — 1.1.553.0 или более поздней. Вы используете задачу Обновление SSL-сертификата AD FS.
Шаг 1. Предоставление сведений о ферме AD FS
Microsoft Entra Подключение пытается автоматически получить сведения о ферме AD FS:
- Запросив сведения о ферме из AD FS (Windows Server 2016 или более поздней версии).
- Ссылка на сведения из предыдущих запусков, которые хранятся локально с помощью Microsoft Entra Подключение.
Отображаемый список серверов можно изменить путем добавления или изменения серверов в соответствии с текущей конфигурацией фермы AD FS. После предоставления сведений о сервере Microsoft Entra Подключение отображает состояние подключения и текущего tls/SSL-сертификата.
Если в списке содержится сервер, который больше не является частью фермы AD FS, щелкните Удалить, чтобы удалить его из списка серверов в ферме AD FS.
Удаление сервера из списка серверов для фермы AD FS в Microsoft Entra Подключение является локальной операцией и обновляет сведения для фермы AD FS, которую microsoft Entra Подключение поддерживает локально. Microsoft Entra Подключение не изменяет конфигурацию в AD FS, чтобы отразить это изменение.
Шаг 2. Указание нового сертификата TLS или SSL
После подтверждения сведений о серверах фермы AD FS Microsoft Entra Подключение запрашивает новый TLS/SSL-сертификат. Чтобы продолжить установку, укажите защищенный паролем PFX-сертификат.
После предоставления сертификата Microsoft Entra Подключение пройти ряд предварительных требований. Проверьте, что указан правильный сертификат для фермы AD FS.
- Имя субъекта или альтернативное имя субъекта сертификата совпадает с именем службы федерации или является именем группового сертификата.
- Сертификат действителен в течение более чем 30 дней.
- Цепь доверия сертификатов является допустимой.
- Сертификат защищен паролем.
Шаг 3. Выбор серверов для обновления
На следующем шаге выберите серверы, для которых необходимо обновить сертификат. Серверы, которые находятся в автономном режиме, выбирать нельзя.
После завершения настройки Microsoft Entra Подключение отображает сообщение, указывающее состояние обновления и предоставляющее возможность проверить вход AD FS.
Вопросы и ответы по
- Что должно собой представлять имя субъекта сертификата для нового TLS- или SSL-сертификата AD FS? Microsoft Entra Подключение проверка, если имя субъекта или альтернативное имя субъекта сертификата содержит имя службы федерации. Например, если имя службы федерации — fs.contoso.com, именем субъекта или альтернативным именем субъекта должно быть fs.contoso.com. Поддерживаются также групповые сертификаты.
- Почему на странице сервера WAP появляется повторный запрос на ввод учетных данных? Если учетные данные, предоставляемые для подключения к серверам AD FS, также не имеют привилегий для управления серверами WAP, Microsoft Entra Подключение запрашивает учетные данные, имеющие права администратора на серверах WAP.
- Сервер находится в автономном режиме. Что делать? Microsoft Entra Подключение не может выполнять никаких операций, если сервер находится в автономном режиме. Если сервер является частью фермы AD FS, проверьте подключение к нему. Устранив проблему, щелкните значок обновления, чтобы изменить состояние в мастере. Если сервер был частью фермы, но теперь больше не существует, нажмите кнопку «Удалить«, чтобы удалить ее из списка серверов, которые поддерживает Microsoft Entra Подключение. Удаление сервера из списка в Microsoft Entra Подключение не изменяет саму конфигурацию AD FS. При использовании AD FS в Windows Server 2016 или более поздней версии сервер останется в параметрах конфигурации и отобразится при следующем запуске задачи.
- Можно ли обновить подмножество серверов фермы с помощью нового TLS- или SSL-сертификата? Да. Задачу Обновить SSL-сертификат можно запускать повторно, чтобы обновить оставшиеся серверы. На странице Выберите серверы, на которых нужно обновить SSL-сертификат можно отсортировать список серверов на странице Срок действия SSL, чтобы без труда обращаться к серверам, которые пока не обновлены.
- Сервер был удален во время предыдущего запуска, но он по-прежнему отображается как находящийся вне сети и указан на странице серверов AD FS. Почему этот автономный сервер по-прежнему существует даже после удаления? Удаление сервера из списка в Microsoft Entra Подключение не удаляет его в конфигурации AD FS. Microsoft Entra Подключение ссылается на AD FS (Windows Server 2016 или более поздней версии) для получения сведений о ферме. Если сервер по-прежнему присутствует в конфигурации AD FS, он будет указан в списке.
Следующие шаги
- Microsoft Entra Подключение и федерация
- службы федерации Active Directory (AD FS) управление и настройка с помощью Microsoft Entra Подключение
Обновление для того, чтобы включить протоколы TLS 1.1 и TLS 1.2 в качестве безопасных протоколов по умолчанию в WinHTTP в Windows
Windows Server 2012 Datacenter Windows Server 2012 Standard Windows Server 2012 Essentials Windows Server 2012 Foundation Windows Server 2008 R2 Service Pack 1 Windows Server 2008 R2 Datacenter Windows Server 2008 R2 Enterprise Windows Server 2008 R2 Standard Windows Server 2008 R2 Foundation Windows Server 2008 R2 for Itanium-Based Systems Windows 7 Service Pack 1 Windows 7 Ultimate Windows 7 Enterprise Windows 7 Professional Windows 7 Home Premium Windows 7 Home Basic Windows 7 Starter Еще. Меньше
Это обновление поддерживает TLS 1.1 и TLS 1.2 в Windows Server 2012, Windows 7 Пакет обновления 1 (SP1) и Windows Server 2008 R2 SP1.
Об этом обновлении
Приложения и службы, написанные с помощью подключений WinHTTP для SSL, которые используют флаг WINHTTP_OPTION_SECURE_PROTOCOLS, не могут использовать протоколы TLS 1.1 или TLS 1.2. Это значит, что определение этого флага не включает эти приложения и службы.
Это обновление добавляет поддержку записи реестра DefaultSecureProtocols, с которой системный администратор может указать, какие протоколы SSL следует использовать WINHTTP_OPTION_SECURE_PROTOCOLS флажком.
Это позволяет некоторым приложениям, которые были встроены для использования флага WinHTTP по умолчанию, использовать новые протоколы TLS 1.2 или TLS 1.1 без необходимости обновления приложения.
Это касается некоторых Microsoft Office приложений, которые открывают документы из библиотеки SharePoint или веб-папки, туннель IP-HTTPS для подключения DirectAccess и другие приложения с помощью таких технологий, как WebClient, с помощью WebDav, WinRM и других приложений.
Для этого обновления необходимо настроить компонент Secure Channel (Schannel) в Windows 7 для поддержки TLS 1.1 и 1.2. Так как эти версии протоколов не включены по умолчанию в Windows 7, необходимо настроить параметры реестра, чтобы приложения Office могли работать с TLS 1.1 и 1.2.
Это обновление не изменит поведение приложений, которые вручную настраивают безопасные протоколы, вместо того чтобы помечать их по умолчанию.
Как получить это обновление
Важно!Если после установки обновления вы установили языковой пакет, необходимо переустановить это обновление. Поэтому мы рекомендуем установить все необходимые языковые пакеты перед установкой обновления. Дополнительные сведения см. в теме «Добавление языковых пакетов в Windows».
Способ 1. Обновление Windows
Это обновление предоставляется в качестве рекомендуемых обновлений для Windows. Дополнительные сведения о запуске Обновления Windows см. в сведениях о том, как получить обновление через Windows Update.
Способ 2. Каталог обновлений Майкрософт
Чтобы получить автономный пакет для этого обновления, перейдите на веб-сайт каталога обновлений Майкрософт.
Обновление подробных сведений
Предварительные условия
Чтобы применить это обновление, необходимо установить Пакет обновления 1 для Windows 7 или Windows Server 2008 R2.
Нет предварительных условий для применения этого обновления в Windows Server 2012.
Сведения о внесении изменений в реестр
Чтобы применить это обновление, необходимо добавить подкод DefaultSecureProtocols реестра.
Примечание Для этого можно добавить подкайку реестра вручную или установить «Простое исправление», чтобы заполнить его.
Требование перезагрузки
После установки этого обновления может потребоваться перезагрузить компьютер.
Сведения о замене обновлений
Это обновление не заменяет ранее выпущенное обновление.
Дополнительная информация
Для соответствия требованиям в отрасли платежных карт требуется TLS 1.1 или TLS 1.2.
Дополнительные сведения о флаге WINHTTP_OPTION_SECURE_PROTOCOLS см. в параметрах флажков.
Как работает запись реестра DefaultSecureProtocols
Внимание! В этом разделе, описании метода или задачи содержатся сведения о внесении изменений в реестр. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует точно выполнять приведенные инструкции. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его резервную копию. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о том, как создать и восстановить реестр, см. в сведениях о том, как создать его и восстановить в Windows.
Когда приложение указывает WINHTTP_OPTION_SECURE_PROTOCOLS, система проверяет запись defaultSecureProtocols и, если есть, переопределяет протоколы по умолчанию, указанные приложением WINHTTP_OPTION_SECURE_PROTOCOLS, с протоколами, указанными в записи реестра. Если запись реестра не существует, winHTTP будет использовать существующие значения по умолчанию для Win WINHTTP_OPTION_SECURE_PROTOCOLS HTTP. Эти значения WinHTTP по умолчанию следуют за существующими правилами приоритета и имеют приоритет, за которые SCHANNEL отключил протоколы и протоколы, установленные для каждого приложения winHttpSetOption.
Примечание.Установщик hotfix не добавляет значение DefaultSecureProtocols. Администратор должен вручную добавить запись после определения протоколов переопределения. Вы также можете установить легкое исправление, чтобы автоматически добавить запись.
Запись реестра DefaultSecureProtocols можно добавить следующим образом:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
На компьютерах с оси x64 к пути Wow6432Node также необходимо добавить defaultSecureProtocols:
HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Internet Settings\WinHttp
Значением реестра является точная карта DWORD. Используемая величина определяется добавлением значений, соответствующих нужным протоколам.
Включить SSL 2.0 по умолчанию
Как обновить tls сертификат
АУДИТ САЙТА — СЕРТИФИКАТ HTTPS
Инструкцию одобрил
SEO-специалист в Luxeo
Илья Беланенко
Протокол TLS — усовершенствованная модификация SSL — secure sockets layer, которая обеспечивает защиту данных при их передаче в интернете. Использование сертификата SSL с устаревшей версией ведет к уязвимостям, которых можно избежать, перейдя на шифрование TLS.
Что такое протокол TLS
Протокол TLS — аббревиатура «transport layer security», которая переводится с английского как протокол «защиты транспортного уровня». Данный протокол создан с той же целью, что и его предшественник SSL — для защиты данных в интернете. При этом он обладает дополнительными возможностями, которые позволяют использовать протокол не только в браузерах Google Chrome, Firefox, Safari, но и в мессенджерах, IP-телефонии.
Данный протокол регулярно улучшается и обновляется компанией IETF для обеспечения надежного шифрования, аутентификации и целостности данных. Последняя версия спецификации на данный момент — TLS 1.3 , появившаяся в августе 2018 года.
Необходимость в обновленном протоколе защиты данных возникла еще в 1999 году, поскольку в протоколе SSL были обнаружены уязвимости. Сейчас все версии SSL-протокола были успешно атакованы с помощью POODLE . Указанная атака позволяет подменять данные пользователя и побайтно расшифровывать информацию, передаваемую по защищенному каналу данных.
Чем отличаются протоколы SSL и TLS
Учитывая, что протокол TLS создан на основе SSL, два данных варианта достаточно сходны. Фактически можно считать, что версия TLS 1.0 — это SSLv3.1. Развитием протоколов занимаются различные компании — SSL создан компанией Netscape, TLS — IEFL.
TLS имеет некоторые различия с SSL-протоколом: отличаются ключи и список наборов шрифтов, есть разница в псевдослучайной функции PRF и функции хэширования HMAC, используемой для построения блока симметричных ключей при шифровании данных. В TLS-протокол добавлен ряд алгоритмов, обеспечивающих безопасность канала передачи данных.
Фактически многие пользователи продолжают называть протокол TLS «SSL-шифрованием». Такой термин получил повсеместное распространение и, как правило, используется поставщиками, которые на самом деле предлагают шифрование TLS:
Хостинг-провайдер, предоставляющий TLS-защиту
- Как продлить срок действия сертификата SSL
- SEO-аудит сайта с помощью Serpstat: обзор инструмента
- Как проверить валидность доменного сертификата SSL
- Как найти на сайте ошибки, которые мешают его продвижению?
Как узнать версию TLS на сайте
Проверить наличие безопасного соединения и текущую версию протокола, используемого на сайте, можно с помощью сервиса SSL-checker. Данный инструмент позволяет получить подробный отчет об используемых на проекте версиях SSL и TLS.
Для проверки введем адрес домена и нажмем «Check SSL/TLS»:
Онлайн-проверка TLS/SSL
В отчете будут описаны все версии протоколов, которые используются для защиты информации:
Результаты проверки TLS и SSL
SSL vs TLS
Многие веб-разработчики задаются вопросом, какой выбрать протокол — SSL или TLS. Учитывая выявленную уязвимость , вместо SSL-протокола необходимо включить TLS согласно рекомендациям специалистов, поскольку установка SSL сертификата небезопасна. Рассматривая сертификаты SSL TLS, необходимо обращать внимание на то, какие стандарты шифрования использует компания, предоставляющая защищенный канал связи:
Хостинг-провайдер дает возможность выбрать версию TLS-протокола
В характеристиках сертификата обязательно должно быть указано, что используется одна из последних версий спецификации протокола TLS. Стоит учитывать версию, поскольку в протоколах TLS 1.0, TLS 1.1 и TLS 1.2 были обнаружены уязвимости, которые устранили в более новых спецификациях.
Чтобы быстро узнать какие проблемы есть у твоего сайта и получить рекомендации по их устранению, нажимай на Проверить свой сайт.
Проверить свой сайт
Хотите узнать, как с помощью Serpstat найти и исправить технические ошибки на сайте?
Оставьте заявку и наши специалисты проконсультируют вас по продвижению вашего проекта, поделятся учебными материалами и инсайтами рынка!
| Заказать бесплатную консультацию |
Как обновить до TLS 1.3
Протокол TLS 1.3 — более новая и защищенная версия, которую предпочтительно использовать для защиты информации на сайтах, в этой спецификации существенно поменяли принцип установления соединения, сделав при этом протокол архитектурно стройнее. В 2022 году допускается использование версии TLS 1.2, однако желательно перейти на новую. Старые версии имеют существенные изъяны и не рекомендуются.
Специалисты Google выявили фундаментальный изъян в используемом в TLS 1.0 и 1.1 шифре RC4.Тесты определили, что данные версии недостаточно безопасны, выявленная уязвимость классифицирована как CVE-2014-8730 .
Чтобы обеспечить надежную защиту данных, в современных протоколах используются 256-битные ключи шифрования, которые почти невозможно успешно атаковать. Версия TLS 1.3 не совместима с предыдущими спецификациями и при этом построена на другом инженерном принципе. Новая версия протокола применяет шифры лишь в режиме аутентифицированного шифрования,в которм не нужно использовать MAC. Алгоритм шифрования и так гарантирует целостность данных.
Если на сайте выявлены проблемы безопасности, необходимо обновить версию протокола TLS. Настройки будут отличаться для различных типов сервера. Например, чтобы прописать обновление версии TLS на сервере Nginx, необходимо сначала обновить его до последней версии и проверить версию OpenSSL — для TLS 1.3 нужны Nginx 1.14 и OpenSSL1.1.1 или выше, а затем внести изменения в файл конфигурации:
server < listen 443 ssl http2; listen [::]:443 ssl http2; server_name site.com; # RSA ssl_certificate /etc/letsencrypt/site.com/fullchain.cer; ssl_certificate_key /etc/letsencrypt/example.com/site.com.key; # ECDSA ssl_certificate /etc/letsencrypt/site.com_ecc/fullchain.cer; ssl_certificate_key /etc/letsencrypt/site.com_ecc/example.com.key; ssl_protocols TLSv1.2 TLSv1.3; ssl_ciphers 'ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-SHA384:ECDHE-RSA-AES256-SHA384:ECDHE-ECDSA-AES128-SHA256:ECDHE-RSA-AES128-SHA256'; ssl_prefer_server_ciphers on; >Как обновить TLS до 1.2?
Пришло письмо от гугла с требованием обновить TLS до 1.2. Сертификат от Let’s Encrypt. Php 7.2.
Я не очень понимаю, что мне нужно обновить, чтобы обновился TLS?
- Вопрос задан более трёх лет назад
- 3396 просмотров
3 комментария
Простой 3 комментария
Настройки веб сервера покажите, версию openssl
Dwellss @Dwellss Автор вопроса
Сослан Хлоев, версия OpenSSL 1.1.1d 10 Sep 2019
Dwellss, openssl 1.1.1 поддерживает даже TLS 1.3
Решения вопроса 0
Ответы на вопрос 3
smilingcheater @smilingcheater
За шифрование у вас на сервере что отвечает — apache или nginx? В nginx в надо указать директиву ssl_protocols TLSv1.2; Про апач не подскажу.
Ответ написан более трёх лет назад
Комментировать
Нравится 2 Комментировать
Для поддержки шифрования программы обычно используют OpenSSL.
OpenSSL 1.1.1d, который умеет TLS 1.3, есть в Debian 10. Версия из Debian 9 точно умела TLS 1.2.
Если версия слишком старая, то никакое изменение конфигов не поможет.
Ответ написан более трёх лет назад
Комментировать
Нравится 1 Комментировать
Cloud infrastructure, monitoring engineer. SRE
1. определить какое ПО у вас принимает ssl соединение.
Это может быть балансировщик (haproxy, nginx, etc) или вебсервер(nginx, apache, etc..)
2. отключить использование TLS ниже 1.2 или жестко задать использование tls 1.2(второе не рекомендуется, но возможно в некоторых случаях придется использовать)
Для этого нужно исправить конфигурацию той секции, которая принимает внешние соединения по https.
Я бы ориентировался на https://ssl-config.mozilla.org/ — конфигуратор от Мозиллы. Только не надо бездумно копировать то что там написано — нужно понимать куда и что прописывать. Этот конфиг генератор подойдет для дефолтных инстялляций или как справочный материал.
Прежде чем делать что-то в следующих пунктах я бы сначала проверил какие версии tls поддерживает ваш вебсервер: натравите на него https://www.ssllabs.com/ssltest/ — он в репорте напишет какие версии TLS поддерживает ваше текущее ПО. Если там есть как минимум tls 1.2(и в идеале и 1.3) — значит можно обойтись настройкой, без обновления ПО
3. В тяжелых случаях возможно потребуется обновить то ПО которое SSL соединение принимает.
4. Или openssl либы на машине.
5. Или обновить ПО с использованием либ последних версий openssl
Ответ написан более трёх лет назад
Комментировать
Нравится Комментировать
Ваш ответ на вопрос
Войдите, чтобы написать ответ
- Linux
- +1 ещё
Установка дебиана на старый ноут каждый раз приводит либо к ошибке ядра, либо к предупреждению, что в репозиториях его нету. Что делать?
- 4 подписчика
- 04 янв.
- 1049 просмотров