Zoom SSO-Zertifikatswechsel

Zoom hat die Unterstützung für SSO-Zertifikate (Single Sign-On) optimiert. Jetzt können Kontoinhaber und Administratoren das Zertifikat automatisch aktualisieren, wenn ein neues Zertifikat verfügbar ist, anstatt das Zertifikat manuell zu aktualisieren. Administratoren können auch ein Rollback ihrer SSO-Konfiguration vornehmen, um ein früheres Zertifikat zu verwenden.

Hinweis: Um mit den branchenüblichen Verfahren Schritt zu halten, wird Zoom sein Single Sign-On-Zertifikat (SSO) vor dessen Ablauf am Mittwoch, den 2. Februar 2022, deaktivieren. Vor dem Zertifikatswechsel sind möglicherweise Maßnahmen auf Ihrer Seite erforderlich, um Dienstunterbrechungen zu vermeiden und SSO weiterhin für die Anmeldung bei Zoom verwenden zu können:

In diesem Artikel:

Voraussetzungen

Neue Optionen für die Verwaltung von SSO-Zertifikaten

Dienstanbieterzertifikat

Die Dienstanbieterzertifikate werden für die Signatur der SAML-Anforderung und der SAML-Abmeldeanforderung verwendet, wenn diese Anforderungen an Ihren IDP gesendet werden. Da Ihr IDP diese Zertifikate verwendet, um die Signatur der SAML-Anforderung bzw. SAML-Abmeldeanforderung zu überprüfen, müssen die Zertifikate sowohl in Zoom als auch bei Ihrem IDP identisch sein. Wenn die Zertifikate nicht übereinstimmen, gibt Ihr IDP möglicherweise einen Fehler aus und verhindert, dass Benutzer sich anmelden. 

Dieses Zertifikat finden Sie in den Zoom SAML-Metadaten unter https://ihrervanityurl.zoom.us/saml/metadata/sp.

Zertifikat automatisch verwalten

StatusVerhaltensweisen
Ein (Standard)

Für die Zoom-Metadaten werden zwei Zertifikate festgelegt, wenn das zuletzt erkannte Zertifikat derzeit nicht für SAML-Anforderungen ausgewählt ist. 

Zoom versucht, das Zertifikat automatisch zu wechseln (d. h. zu aktualisieren), wenn Ihr IDP so konfiguriert ist, dass die Zoom Metadaten-URL überwacht wird und verschlüsselte Assertionen unterstützt (die Option zur Unterstützung von verschlüsselten Assertionen muss dabei aktiviert sein).

Aus

In den SSO-Einstellungen wird nur ein Zertifikat für die Zoom-Metadaten festgelegt. Zoom wechselt nicht automatisch zu einem neuen Zertifikat.

AD FS-Zertifikatswechsel 

Wenn auf Ihrem AD FS-Server die Option Monitor relying party (Vertrauende Seite überwachen) für die Zoom SAML-Metadaten-URL nicht aktiviert ist, müssen Sie das Zertifikat manuell aktualisieren.

Automatische Aktualisierung des Zertifikats über die Metadaten-URL

So aktivieren Sie die Überwachungsoption auf Ihrem AD FS-Server:

    1. Melden Sie sich bei Ihrem ADFS-Server an.
    2. Rufen Sie die Verwaltungstools und anschließend die AD FS-Verwaltungskonsole auf.
    3. Klicken Sie in der linken Navigationsstruktur auf Trust Relationships (Vertrauensstellungen) und anschließend auf Relying Party Trusts (Vertrauensstellungen der vertrauenden Seite).
    4. Klicken Sie mit der rechten Maustaste auf Relying Party Trust for Zoom (Vertrauensstellungen der vertrauenden Seite für Zoom) und anschließend auf Properties (Eigenschaften).
    5. Geben Sie auf der Registerkarte Monitoring (Überwachung) Ihre Zoom SAML-Metadaten-URL ein (https://ihrevanityurl.zoom.us/saml/metadata/sp).
    6. Aktivieren Sie die Option Monitor relying party (Vertrauende Seite überwachen).
    7. Klicken Sie auf Übernehmen.

Manuelles Aktualisieren des Zertifikats über die Metadaten-URL

So aktualisieren Sie das Zertifikat manuell mithilfe der Metadaten-URL:

    1. Melden Sie sich im Zoom Web Portal an.
    2. Klicken Sie im Navigationsmenü auf Erweitert und dann auf Einmaliges Anmelden (SSO).
    3. Klicken Sie im Abschnitt Dienstanbieterzertifikat auf Bearbeiten und wählen Sie Zoom-Zertifikat (läuft ab am 01/04/2023 UTC) aus.
      Dadurch wird das Zoom-Zertifikat durch das neueste Zertifikat bzw. das Zertifikat mit der derzeit längsten Gültigkeit ersetzt.
    4. Melden Sie sich bei Ihrem ADFS-Server an.
    5. Rufen Sie die Verwaltungstools und anschließend die AD FS-Verwaltungskonsole auf.
    6. Klicken Sie in der linken Navigationsstruktur auf Trust Relationships (Vertrauensstellungen) und anschließend auf Relying Party Trusts (Vertrauensstellungen der vertrauenden Seite).
    7. Klicken Sie mit der rechten Maustaste auf Relying Party Trust for Zoom (Vertrauensstellungen der vertrauenden Seite für Zoom) und anschließend auf Properties (Eigenschaften).
    8. Geben Sie Ihre Zoom SAML-Metadaten-URL ein (https://ihrevanityurl.zoom.us/saml/metadata/sp).
    9. Klicken Sie auf Test URL (URL testen).
    10. Klicken Sie nach der erfolgreichen Überprüfung auf OK und anschließend auf Übernehmen.
    11. Schließen Sie das Einstellungen-Fenster.
    12. Klicken Sie mit der rechten Maustaste auf Relying Party Trust for Zoom (Vertrauensstellungen der vertrauenden Seite für Zoom) und anschließend auf Update from Federation Metadata (Update ausführen aus Verbundmetadaten).
    13. Klicken Sie auf der Registerkarte Identifiers (Kennzeichner) auf Aktualisieren.
    14. Überprüfen Sie auf den Registerkarten Verschlüsselung und Signature (Signatur), ob das Gültigkeits- und Ablaufdatum des Zertifikats für das neue Zertifikat angegeben ist.
      Hinweis: Auf der Registerkarte Verschlüsselung ist nur ein Zertifikat oder möglicherweise kein Zertifikat sichtbar, wenn für SSO die Unterstützung von verschlüsselten Assertionen nicht aktiviert ist. Dies gilt auch für die Registerkarte Signature (Signatur), wenn für SSO die Option Sign SAML Request (Signatur der SAML-Anforderung) bzw. Sign SAML Logout Request (Signatur der SAML-Abmeldeanforderung) nicht aktiviert ist.

Zoom empfiehlt, nach Aktualisierung des Zertifikats einige Testanmeldungen durchzuführen, um sicherzustellen, dass SSO ordnungsgemäß funktioniert.

Fehlerbehebung bei Fehlern im AD FS-Protokoll

Fehler in Signaturzertifikat MSIS3015

"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3015: Das Signaturzertifikat der Anspruchsanbieter-Vertrauensstellung 'xxxxxxxx.zoom.us', die durch den Fingerabdruck '175F66EE7911A55ECF3549280C85A0BB941CEC16' identifiziert wird, ist nicht gültig."

Fehler in Verschlüsselungszertifikat MSIS3014

"Microsoft.IdentityServer.Service.SecurityTokenService.RevocationValidationException: MSIS3014: Das Verschlüsselungszertifikat für die Vertrauensstellung 'microsoft:identityserver:xxxxxxx.zoom.us' der vertrauenden Seite, die durch den Fingerabdruck '175F66EE7911A55ECF3549280C85A0BB941CEC16' identifiziert wird, ist nicht gültig."

Wenn Sie eine dieser Fehlermeldungen erhalten, kann dies darauf hindeuten, dass das Zertifikat gesperrt oder abgelaufen ist oder dass die Zertifikatkette nicht vertrauenswürdig ist Wir empfehlen, ein Rollback des Zertifikats auf das vorherige Zertifikat und anschließend einen Test durchzuführen, um sicherzustellen, dass die Fehler behoben wurden. Wenn die Fehler behoben wurden, aktualisieren Sie das Zertifikat erneut über die Metadaten-URL.

Manuelles Aktualisieren des Zertifikats über eine Datei

Laden Sie das Zertifikat von Zoom herunter.

    1. Melden Sie sich im Zoom Web Portal an.
    2. Klicken Sie im Navigationsmenü auf Erweitert und dann auf Einmaliges Anmelden (SSO).
    3. Klicken Sie im Abschnitt Dienstanbieterzertifikat auf Bearbeiten und wählen Sie Zoom-Zertifikat (läuft ab am 01/04/2023 UTC) aus.
      Dadurch wird das Zoom-Zertifikat durch das neueste Zertifikat bzw. das Zertifikat mit der derzeit längsten Gültigkeit ersetzt.
    4. Klicken Sie auf View (Anzeigen), um die Detailseite für das Zertifikat zu öffnen.
    5. Klicken Sie auf Download (Herunterladen), um die Zertifikatsdatei herunterzuladen.

Hochladen des Zertifikats in AD FS

    1. Melden Sie sich bei Ihrem ADFS-Server an.
    2. Rufen Sie die Verwaltungstools und anschließend die AD FS-Verwaltungskonsole auf.
    3. Klicken Sie in der linken Navigationsstruktur auf Trust Relationships (Vertrauensstellungen) und anschließend auf Relying Party Trusts (Vertrauensstellungen der vertrauenden Seite).
    4. Klicken Sie mit der rechten Maustaste auf Relying Party Trust for Zoom (Vertrauensstellungen der vertrauenden Seite für Zoom) und anschließend auf Properties (Eigenschaften).
    5. Klicken Sie auf die Registerkarte Verschlüsselung und anschließend auf Browse (Durchsuchen).
    6. Öffnen Sie die heruntergeladene Zertifikatsdatei.
    7. Klicken Sie auf die Registerkarte Signature (Signatur).
    8. Entfernen Sie alle aktuell aufgeführten Zertifikate.
    9. Klicken Sie auf Hinzufügen, und wählen Sie das neueste Zertifikat aus.

Zoom empfiehlt, nach Aktualisierung des Zertifikats einige Testanmeldungen durchzuführen, um sicherzustellen, dass SSO ordnungsgemäß funktioniert.

Wenn SSO-Anmeldungen beim Testen nicht ordnungsgemäß funktionieren, führen Sie ein Rollback auf das vorherige Zertifikat und anschließend eine Testanmeldung durch. Wenn die SSO-Anmeldung erfolgreich ist, laden Sie das Zertifikat anhand der oben beschriebenen Schritte erneut hoch.

Shibboleth-Zertifikatswechsel 

Shibboleth V3

Hinweis: Stellen Sie bei Verwendung von Shibboleth sicher, dass die Option zur Unterstützung verschlüsselter Assertionen aktiviert ist.

Wenn Shibboleth als Metadatenanbieter HTTPMetadataProvider, FileBackedHTTPMetadataProvider oder DynamicHTTPMetadataProvider verwendet, überwacht Shibboleth die Metadaten von Zoom. Wenn keiner der aufgeführten Metadatenanbieter verwendet wird, müssen Sie die Metadatendatei manuell auf den Shibboleth-Server herunterladen und aktualisieren.

Wenn Shibboleth als Metadatenanbieter ResourceBackedMetadataProvider, LocalDynamicMetadataProvider oder FilesystemMetadataProvider verwendet, können Sie die Metadatendatei unter Umständen aktualisieren, ohne den Webserver (z. B. Apache Tomcat oder eine andere Java-Anwendung) neu zu starten.

Weitere Informationen finden Sie im Wiki zu Shibboleth-Konfigurationen.

Manuelle Aktualisierung des Zertifikats über einen Webserver-Neustart

    1. Melden Sie sich im Zoom Web Portal an.
    2. Klicken Sie im Navigationsmenü auf Erweitert und dann auf Einmaliges Anmelden (SSO).
    3. Klicken Sie im Abschnitt Dienstanbieterzertifikat auf Bearbeiten und wählen Sie Zoom-Zertifikat (läuft ab am 01/04/2023 UTC) aus.
      Dadurch wird das Zoom-Zertifikat durch das neueste Zertifikat bzw. das Zertifikat mit der derzeit längsten Gültigkeit ersetzt.
    4. Laden Sie die neuen Metadaten über https://ihrevanityurl.zoom.us/saml/metadata/sp. herunter.
    5. Laden Sie die neuen Metadaten über https://ihrevanityurl.zoom.us/saml/metadata/sp herunter.
    6. Starten Sie den Webserver neu.

Hinweis: Wenn Sie den Webserver nicht neu starten, müssen Sie warten, bis Shibboleth die Datei geladen hat. Dies kann zwischen 5 Minuten und maximal 24 Stunden dauern. Während dieses Zeitraums können sich Benutzer möglicherweise nicht mit SSO anmelden. 

Ordnungsgemäße manuelle Aktualisierung des Zertifikats

    1. Laden Sie die neuen Metadaten über https://ihrevanityurl.zoom.us/saml/metadata/sp. herunter.
    2. Laden Sie die neuen Metadaten über https://ihrevanityurl.zoom.us/saml/metadata/sp herunter.
    3. Warten Sie 48 Stunden, bis Zoom das neue Zertifikat automatisch erkennt und eine Aktualisierung auf das neue Zertifikat durchführt.
    4. Überprüfen Sie Ihre SSO-Konfiguration in Zoom, um sicherzustellen, dass Ihr Zertifikat automatisch durch das neueste Zertifikat (2023) ersetzt wurde.
      • Wenn erfolgreich: Laden Sie die Metadatendatei erneut über die Metadaten-URL herunter, und aktualisieren Sie den Server mit der neuen Datei.
      • Wenn nicht erfolgreich: Warten Sie einen weiteren Tag, bis Zoom das neue Zertifikat automatisch erkennt.