Die Verwaltung von Sicherheitszertifikaten mit PowerShell ist ein notwendiges Tool für alle Unternehmenseinrichtungen, die Hybrid Azure AD verwenden. Mit diesen Zertifikaten werden die Geräteregistrierung und die Datensynchronisation verfolgt.
Aus diesem Grund können abgelaufene Zertifikate verschiedene Probleme verursachen. Mögliche Probleme sind: die Unterbrechung der Synchronisierung von Geräten, Authentifizierungsfehler, die Einschränkung des Zugriffs auf hybride Arbeitslasten oder das Verweigern oder Verzögern der Ausgabe von Token.
Verschiedene Funktionen für die Verwaltung abgelaufener Zertifikate in Azure AD
Es gibt verschiedene Möglichkeiten, wie Sie abgelaufene Zertifikate in Azure AD verwalten können. Sie können die Zertifikate aller Ihrer verwalteten Geräte anzeigen, Zertifikate für Azure AD Connect oder AD FS erneuern und abgelaufene Zertifikate entfernen.
Darüber hinaus können Sie auch die Windows-Registry zur Validierung von Zertifikatsabhängigkeiten, GPOs zur Verwaltung der automatischen Zertifikatsregistrierung auf allen verwalteten Geräten oder die Eingabeaufforderung zur Fehlerbehebung bei Zertifikaten und Synchronisierung verwenden.
📌 Voraussetzungen:
- Sie benötigen Zugriff auf den Server, auf dem Azure AD oder AD FS installiert ist.
- Sie benötigen Administratorrechte sowohl für Ihren lokalen Server als auch für den Azure AD-Server.
- Folgende Module müssen in Windows PowerShell installiert sein:
- AzureAD
- MSOnline
- AD FS
- Hybrider Agent
- Sie sollten Zugriff auf das Zertifikat-MMC-Snap-In und PowerShell haben.
- Es wird empfohlen, eine vertrauenswürdige Stammzertifizierungsstelle und Enterprise-Zertifikatsauthentifizierung zu verwenden, wenn Sie die Zertifikate manuell ausstellen.
📌 Empfohlene Einsatzstrategien:
Identifizierung abgelaufener Zertifikate über PowerShell
Dies wird für die Dienste AD FS und Azure AD Connect verwendet. Alle lokalen Computerzertifikate und deren Ablaufdatum werden so aufgelistet.
- Öffnen Sie das Startmenü und suchen Sie nach Windows PowerShell.
- Klicken Sie mit der rechten Maustaste auf Windows PowerShell > Als Administrator ausführen.
- Geben Sie dies ein und drücken Sie die Eingabetaste:
| Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.NotAfter -lt (Get-Date) } | Select Subject, Thumbprint, NotAfter List Azure AD application certificates: Connect-AzureAD Get-AzureADApplication | ForEach-Object { Get-AzureADApplicationKeyCredential -ObjectId $_.ObjectId | Where-Object { $_.EndDate -lt (Get-Date) } } Check service principal credentials: Get-AzureADServicePrincipal | ForEach-Object { Get-AzureADServicePrincipalKeyCredential -ObjectId $_.ObjectId | Where-Object { $_.EndDate -lt (Get-Date) } } |
Erneuerung von Zertifikaten für Azure AD Connect
- Melden Sie sich beim Azure AD-Server Ihres Unternehmens an.
- Öffnen Sie das Startmenü und suchen Sie nach Windows PowerShell.
- Klicken Sie mit der rechten Maustaste auf Windows PowerShell > Als Administrator ausführen.
- Geben Sie Start-ADSyncSyncCycle -PolicyType Initial ein und drücken Sie die Eingabetaste. Dadurch wird eine vollständige (erste) Synchronisierung ausgelöst, d. h. Ihr System liest alle Synchronisierungsregeln und Daten und wendet sie erneut an.
Jetzt können Sie die Zertifikate Ihrer verwalteten Geräte erneuern.
Wenn Sie die Azure AD-Benutzeroberfläche verwenden:
- Öffnen Sie Azure AD Connect.
- Klicken Sie auf Konfigurieren > Zertifikate verwalten.
- Wählen Sie Zertifikate erneuern.
- Folgen Sie den Anweisungen und überprüfen Sie die Synchronisierung.
Wenn Sie Windows PowerShell verwenden:
- Öffnen Sie das Startmenü und suchen Sie nach Windows PowerShell.
- Klicken Sie mit der rechten Maustaste auf Windows PowerShell > Als Administrator ausführen.
- Geben Sie diesen Befehl ein und drücken Sie die Eingabetaste:
| $cert = Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.Subject -like „*IhreDomain.com*“ -and $_.NotAfter -gt (Get-Date) } Set-ADSyncCertificate -Thumbprint $cert.Thumbprint |
Ändern Sie „IhreDomain.com“ in Ihre Domain.
💡 Hinweis: Möglicherweise müssen Sie dafür ein eigenes Skript schreiben, je nach Ihrer individuellen Konfiguration. Alternativ können Sie die Zertifikate auch über die Benutzeroberfläche von Azure AD erneuern.
Erneuerung von Zertifikaten für AD FS (falls verwendet)
- Öffnen Sie das Startmenü und suchen Sie nach Windows PowerShell.
- Klicken Sie mit der rechten Maustaste auf Windows PowerShell > Als Administrator ausführen.
- Um ein neues Zertifikat zu exportieren und zu binden, geben Sie dies ein und drücken Sie die Eingabetaste:
| Set-AdfsSslCertificate -Thumbprint ‚NEW_CERT_THUMBPRINT‘ Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint ‚NEW_CERT_THUMBPRINT‘ Update token-signing and decrypting certificates: Update-AdfsCertificate -CertificateType Token-Signing Update-AdfsCertificate -CertificateType Token-Decrypting |
- Erzwingen Sie das Neuladen Ihrer Konfiguration, indem Sie Restart-Service adfssrv eingeben und die Eingabetaste drücken.
- Um zu überprüfen, ob die Zertifikate erneuert wurden, geben Sie die folgenden Befehle ein:
Get-AdfsSslCertificate
Get-AdfsCertificate
Entfernung abgelaufener Zertifikate
- Öffnen Sie das Startmenü und suchen Sie nach Windows PowerShell.
- Klicken Sie mit der rechten Maustaste auf Windows PowerShell > Als Administrator ausführen.
- Um die abgelaufenen Zertifikate vom lokalen Rechner zu entfernen, geben Sie diesen Befehl ein und drücken Sie die Eingabetaste:
| Get-ChildItem -Path Cert:\LocalMachine\My | Where-Object { $_.NotAfter -lt (Get-Date) } | Remove-Item |
Um die abgelaufenen Zertifikate aus der Azure AD-Anwendung zu entfernen, geben Sie den folgenden Befehl ein und drücken Sie die Eingabetaste:
| $expiredCerts = Get-AzureADApplicationKeyCredential -ObjectId $app.ObjectId | Where-Object { $_.EndDate -lt (Get-Date) } foreach ($cert in $expiredCerts) { Remove-AzureADApplicationKeyCredential -ObjectId $app.ObjectId -KeyId $cert.KeyId } |
Verwendung der Registry für das Validieren und Verfolgen von Zertifikatsabhängigkeiten
Sie können die Windows Registry verwenden, um Zertifikate mit bestimmten Diensten zu verknüpfen und zu verfolgen, ob es Zertifikate gibt, die erneuert werden müssen.
- Öffnen Sie das Startmenü und suchen Sie nach Registrierungs-Editor , um das Programm zu öffnen.
- Navigieren Sie zu der Adresse der Dienste, die Sie überprüfen möchten. Wenn Sie zum Beispiel überprüfen möchten, ob das Zertifikat in der AD FS/Hybrid-Ablaufverfolgung richtig gebunden ist, navigieren Sie zu dieser Adresse:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ADFS\Parameters
- Die CertificateHash-Zeichenkette sollte den Wert „THUMBPRINT“ haben.
- Wenn Sie die Zuordnung des Azure AD Connect-Dienstkontos überprüfen möchten, gehen Sie zu HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\ADSync.
- Die CertificateHash-Zeichenkette sollte den Wert „THUMBPRINT“ haben.
Dies sind Beispielsituationen. Der spezifische Pfad und die Zeichenfolge hängen von Ihrer spezifischen Situation ab.
Verwendung von Gruppenrichtlinien zur Verwaltung der automatischen Zertifikatsregistrierung
Damit können Sie erneuerte Zertifikate automatisch auf Hybridgeräte und Server übertragen.
- Öffnen Sie das Startmenü und suchen Sie nach Gruppenrichtlinie bearbeiten, um das Programm zu öffnen.
- Navigieren Sie zu Computerkonfiguration > Windows-Einstellungen > Sicherheitseinstellungen > Richtlinien für öffentliche Schlüssel.
- Doppelklicken Sie auf Certificate Services Client – Richtlinie für die Zertifikatsregistrierung..
- Setzen Sie ihn auf Aktiviert.
- Suchen Sie die abgelaufenen Zertifikate und erneuern Sie diese.
- Aktualisieren Sie die Zertifikate, die die Zertifikatsvorlage verwenden.
- Klicken Sie auf OK > Übernehmen.
Verwendung der Eingabeaufforderung für die Fehlerbehebung bei Zertifikaten und Synchronisationen
Sie können diese Befehle während der Fehlerbehebung bei Zertifikaten oder nach Konfigurationsänderungen verwenden.
- Öffnen Sie das Startmenü und suchen Sie nach Eingabeaufforderung.
- Klicken Sie mit der rechten Maustaste auf Eingabeaufforderung > Als Administrator ausführen.
- Um den Synchronisierungsstatus von Azure AD Connect zu überprüfen, geben Sie sc query ADSync ein und drücken Sie die Eingabetaste.
- Um die installierten Zertifikate zu überprüfen, geben Sie certutil -store ein und drücken die Eingabetaste.
- Um eine GPO-Aktualisierung und eine Aktualisierung der Zertifikatsrichtlinie durchzusetzen, geben Sie Folgendes ein und drücken die Eingabetaste:
gpupdate /force
certutil -pulse
⚠️ Fehlerbehebung / Zu berücksichtigende Aspekte
| Problem/Risiko | Mögliche Konsequenzen | Korrekturen |
| Die Synchronisierung schlägt nach der Erneuerung fehl. | Das Zertifikat wird nicht aktualisiert. | Starten Sie den Synchronisierungsdienst mit Windows PowerShell neu und überprüfen Sie die Konfiguration Ihres Konnektors. |
| Sie erhalten Azure-Anmeldefehler. | Sie können sich nicht anmelden. | Stellen Sie sicher, dass die Zertifikate in der Windows-Registry korrekt gebunden sind. |
| Sie erhalten den Hinweis, dass die Föderationsdaten ungültig oder unvollständig sind. | Sie können mit Ihren bestehenden Anmeldeinformationen auf Dienste auf verschiedenen Plattformen nicht zugreifen. | Bestätigen Sie, dass AD FS-Zertifikate mit Set-AdfsSslCertificate unter Verwendung von Windows PowerShell korrekt eingestellt sind. |
| Sie erhalten die Fehlermeldung „Zugang verweigert“. | Sie können Ihre Aufgaben nicht erledigen. | Vergewissern Sie sich, dass Sie das richtige Konto für die Verwaltung von Schlüsseln und Diensten verwenden. |
Zusätzliche Überlegungen bei der Verwaltung abgelaufener Zertifikate in Hybrid Azure AD
- Stellen Sie immer sicher, dass die neuen Zertifikate von Azure AD und allen Ihren lokalen Servern als vertrauenswürdig eingestuft werden, bevor Sie diese implementieren.
- Stellen Sie Warnmeldungen mit Windows PowerShell oder NinjaOne ein, die Sie über den Ablauf von Zertifikaten informieren.
- MSPs, die mit mehreren Tenants arbeiten, sollten sicherstellen, dass alle ihre Hybrid-Server bei der entsprechenden Client-Anwendung registriert sind.
- Exportieren und speichern Sie Ihre Zertifikate immer an einem sicheren Ort, bevor Sie diese ersetzen oder löschen.
NinjaOne-Services
NinjaOne kann IT-Administrator:innen bei der Stärkung des hybriden Zertifikatsmanagements unterstützen:
- Automatisierte Skripterstellung – PowerShell-Skripte können eingesetzt werden, um nach abgelaufenen Zertifikaten zu suchen und diese automatisch zu erneuern.
- Benachrichtigung und Überwachung – Administrator:innen können Warnmeldungen einrichten, die sie daran erinnern, wenn Zertifikate bald ablaufen.
- Validierung von Registrierungsschlüsseln – Sie können Registrierungsdaten abrufen, um den Status der Zertifikatsbindung Ihrer Hybridagenten zu verfolgen.
- Dienstüberprüfung – Administrator:innen können Berichte über den Dienstzustand von AD FS oder Azure AD Connect erstellen und sie so einstellen, dass sie sich auf Zertifikatsprobleme konzentrieren.
- Zentralisiertes Dashboard – Sie können hybride Identitätszertifikate in allen Ihren Client-Umgebungen überwachen.
Verwaltung lokaler Maschinenzertifikate in Hybrid Azure AD
Es ist essenziell, Zertifikate in einer Hybrid Azure AD-Einrichtung ordnungsgemäß zu verwalten und sicherzustellen, dass alle Zertifikate auf dem neuesten Stand gehalten werden. Dies gewährleistet eine ununterbrochene Authentifizierung, Verzeichnissynchronisierung und sichere Anwendungskommunikation.
Verwandte Themen:
