Certificatele joacă un rol-cheie în protejarea schimbului de date între serverele de federație, proxy-urile de aplicații Web, aplicațiile și clienții Web. Această secțiune descrie pașii necesari pentru obținerea și configurarea certificatelor Secure Sockets Layer (SSL) pentru serviciul Federației. Cu alte cuvinte, perioada de valabilitate se apropie de certificatul SSL din ferma AD FS existentă și doriți să obțineți un alt certificat și să îl configurați ca un certificat SSL în ferma AD FS. Certificatul SSL este utilizat pentru a proteja schimbul de date între serverele de federație și clienți. Pentru mai multe informații, consultați "Cerințe pentru certificate" Cerințe pentru AD FS.
Dacă primiți un nou certificat SSL de la o terță parte sau de la o autoritate de certificare a întreprinderii (CA), asigurați-vă că certificatul are un nume alternativ pentru subiectul tipului DNS pentru fiecare dintre următoarele:
Numele, cum ar fi serviciul de federație fs.contoso.com (sau intrarea corespunzătoare a șablonului ca * .contoso.com)
Când utilizați AD FS utilizând Serviciul de înregistrare a dispozitivelor (DRS), adăugați un tip de DNS suplimentar SAN pentru fiecare sufix al numelui principal al utilizatorului în mediul dvs., de exemplu, enterpriseregistration.contoso.com.
Se recomandă să marcați cheia ca fiind exportată, astfel încât același certificat să poată fi implementat pe fiecare federație de server și aplicație proxy Web din ferma AD FS. Rețineți că certificatul trebuie să fie de încredere (lanțul la CA rădăcină de încredere).
În caseta Enter Object Names, tastați nt service \ adfssrv, apoi faceți clic pe Check Names. Serviciul ar trebui să returneze numele adfssrv. Faceți clic pe OK.
Dacă utilizați AD FS cu DRS, în Introducere nume de obiecte, servicii de tip nt \ Drs, și apoi faceți clic pe Verificare nume. Numele trebuie să fie autorizat de DRS. Faceți clic pe OK.
Selectați serviciul și asigurați-vă că este selectat accesul numai pentru citire. Faceți clic pe OK.
Configurați un nou certificat SSL pentru DRS
Când configurați serviciul Active Directory Federation with DRS, trebuie să vă asigurați că noul dvs. certificat SSL pentru AD FS este, de asemenea, configurat corect pentru DRS.
Dacă toate numele DRS corecte sunt în certificat (un SAN suplimentar al tipului DNS pentru fiecare membru al sufixului din mediul dvs., de exemplu, enterpriseregistration.contoso.com), atunci nu sunt necesare pași suplimentari pentru a configura certificatul SSL pentru DRS. Set-AdfsSslCertificate Setează legăturile corecte și pentru DRS.
Verificați dacă numele de DRS corecte sunt incluse în certificat prin executarea comenzii Get-AdfsDeviceRegistrationUpnSuffix. care afișează toate sufixele UPN utilizate în organizație și compară rezultatul conținutului certificatului SAN.
Dacă nu aveți nume, trebuie să obțineți un nou certificat SSL și să reluați Set-AdfsSslCertificate pe fiecare server de federalizare și proxy de aplicație Web.
De fiecare dată când este executată, set-AdfsSslCertificate. nu uitați să actualizați certificatul de serviciu. Puteți face acest lucru prin certificatele MMC -> -> Configurați certificatul de interacțiune a serviciului.
Instalați un certificat SSL pentru fiecare proxy de aplicație Web
Un nou certificat SSL este instalat pe toate nodurile din ferma AD FS, inclusiv toate computerele de pe serverul proxy. Prin urmare, trebuie să instalați un nou certificat SSL în magazinul de certificate personale al computerului personal pe fiecare aplicație Web proxy din ferma AD FS.
Este recomandat să utilizați același certificat SSL pe toate serverele de federație și aplicațiile Web pe servere proxy din ferma AD FS.
După instalare, instalați certificatul SSL ca certificat proxy server Active Directory Federation executând următoarele comenzi: Set-WebApplicationProxySslCertificate -Thumbprint
Articole similare
-
Configurarea numerelor orașelor pentru virtuale, bază de cunoștințe
-
Configurarea unei antene satelit pentru full-Dummies - 38 - Articole de enciclopedie
Trimiteți-le prietenilor: