Az SSL tanúsítvány beszerzése és konfigurálása hirdetési szolgáltatások számára
A tanúsítványok kulcsfontosságú szerepet játszanak az adatcsere védelmében az egyesített szerverek, a webes alkalmazásproxyk, az alkalmazások és a webes ügyfelek között. Ez a rész ismerteti a Secure Sockets Layer (SSL) tanúsítványok létrehozásához és konfigurálásához szükséges lépéseket az egyesített szolgáltatáshoz. Más szavakkal, az érvényességi idő megközelíti az SSL tanúsítványt a meglévő AD FS gazdaságban, és egy másik tanúsítványt szeretne kapni, és konfigurálni fogja azt SSL tanúsítványként az AD FS gazdaságban. Az SSL tanúsítvány az adatcserét az egyesítő szerverek és az ügyfelek között védi. További információkért lásd: "A tanúsítványok követelményei" az AD FS követelményeinek.
Új SSL tanúsítvány beszerzése egy harmadik féltől vagy egy vállalati hitelesítésszolgáltatótól (CA), győződjön meg róla, hogy a tanúsítványhoz alternatív DNS-téma-név tartozik az alábbiak mindegyikéhez:
Name, például a fs.contoso.com federációs szolgáltatás (vagy a megfelelő sablonbejegyzés, mint * .contoso.com)
Ha AD FS az eszköz regisztrációs szolgáltatás (DRS), egy kiegészítő SAN DNS-utótag minden típusú UPN a környezetben, mint például enterpriseregistration.contoso.com.
Javasoljuk, hogy a kulcsot exportálva jelölje meg úgy, hogy ugyanaz a tanúsítvány telepíthető legyen az egyes kiszolgálói szövetségekre és a webes proxy alkalmazásokra az AD FS farmban. Vegye figyelembe, hogy a tanúsítványnak megbízhatónak kell lennie (a lánc a megbízható root CA-ra).
Az Enter Object Names mezőbe írja be az nt service \ adfssrv parancsot, majd kattintson a Névek ellenőrzése gombra. A szolgáltatásnak vissza kell adnia az adfssrv nevet. Kattintson az OK gombra.
Ha az AD FS-t DRS-sel használja, az Enter objektumnevekben írja be az nt szolgáltatás \ drs parancsot, és kattintson a Nevek ellenőrzése gombra. A nevet a DRS-nek engedélyeznie kell. Kattintson az OK gombra.
Válassza ki a szolgáltatást, és győződjön meg róla, hogy csak olvasható hozzáférés van kiválasztva. Kattintson az OK gombra.
Állítson be új SSL-tanúsítványt a DRS számára
Amikor beállítja az Active Directory Federation Service-t DRS-sel, akkor biztosítania kell, hogy az új ADF-tanúsítvány SSL-tanúsítványa is helyesen legyen beállítva a DRS számára.
Ha minden a nevét a DRS helyes a tanúsítvány (nem kötelező SAN DNS-utótag minden típusú résztvevő a környezetben, mint például enterpriseregistration.contoso.com) van, akkor további lépések szükségesek az SSL-tanúsítvány beállításait DRS. Set-AdfsSslCertificate Beállítja a DRS helyes összerendelését is.
Ellenőrizze, hogy a megfelelő DRS-nevek szerepel-e a tanúsítványban a Get-AdfsDeviceRegistrationUpnSuffix parancs futtatásával. amely felsorolja a szervezetben használt összes UPN-utótagot, és összehasonlítja a SAN tanúsítvány tartalmának kimenetét.
Ha nincsenek neved, új SSL-tanúsítványt kell kérni, és újra kell futtatni a Set-AdfsSslCertificate-t minden egyes egyesítő szerverre és a webes alkalmazás proxyjába.
Minden alkalommal, amikor végrehajtják, a Set-AdfsSslCertificate. Ne felejtse el frissíteni a szolgáltatási tanúsítványt. Ehhez az MMC -> tanúsítványok -> A szolgáltatási interakciós tanúsítvány konfigurálása.
Telepítsen SSL tanúsítványt minden webes alkalmazás proxy számára
Az AD FS farm összes csomópontjára telepítve van egy új SSL tanúsítvány, beleértve a proxykiszolgáló összes számítógépét is. Ezért egy új SSL tanúsítványt kell telepíteni a személyi számítógép személyes tanúsítványtárolójába az AD FS farm minden egyes proxy webes alkalmazásához.
Javasolt ugyanazt az SSL tanúsítványt használni az összes federációs kiszolgálón és webalkalmazásokban az AD FS farmon lévő proxykiszolgálókon.
Telepítés után telepítse az SSL tanúsítványt Active Directory szövetségi kiszolgáló proxy tanúsítványként a következő parancsok futtatásával: Set-WebApplicationProxySslCertificate -Thumbprint