說到adfs(active directory federation services)服務,相信大家都已經了解了,adfs服務我們可以理解為sso(單點登入),在windows服務下, 主要應用到了windows azure或者office365的使用者許可權登入。
adfs將活動目錄拓展到internet。要理解這一點,可以考慮一般活動目錄設施的工作原理。當使用者通過活動目錄認證時,域控制器檢查使用者的證書。證明是合法使用者後,使用者就可以隨意訪問windows網路的任何授權資源,而無需在每次訪問不同伺服器時重新認證。
adfs將同樣的概念應用到internet. 我們都知道web應用訪問位於sql server或其他型別後端資源上的後端資料。對後端資源的安全認證問題往往比較複雜。可以有很多不同的認證方法提供這樣的認證。例如,使用者可能通過radius(遠端撥入使用者服務認證)伺服器或者通過應用程式**的一部分實現所有權認證機制。
這些認證機制都可實現認證功能,但是也有一些不足之處。不足之一是賬戶管理。當應用僅被我們自己的員工訪問時,賬戶管理並不是個大問題。但是,如果您的**商、客戶都使用該應用時,您會突然發現您需要為其他企業的員工建立新的使用者賬戶。不足之二是維護問題。當其他企業的員工離職,僱傭新員工時,您需要刪除舊的賬戶和建立新的賬戶。密碼也是乙個問題。另一adfs的主要元件是adfs web**。web應用必須有對外部使用者認證的機制。這些機制就是adfs web**。 adfs web**管理安全令牌和向web 伺服器發放的認證cookies
今天主要介紹的環境為windows azure及office365環境下部署服務,因為部署adfs的服務的時候,需要一張帶私鑰的證書才可以完成整個配置,配置長期使用後,證書如果過期了,我們需要更新證書才可以正常使用。今天就介紹當adfs服務過期了如何更新證書。具體見下:
注:如果環境內部署了adfs服務的話, online skype for client登入(本地ad使用者同步到online的使用者)的時候,需要通過adfs服務進行驗證,所以adfs證書需要受公網的信任才可以
注:adfs伺服器不建議安裝iis服務,如果安裝了會有遺留問題。
最後發現,我環境中的adfs伺服器的證書不受信任,所以也無法登陸,所以我們也需要為當前adfs伺服器更換證書
由於需要受網際網路的信任,所以我們需要申請公網證書
我們首選需要為adfs提交乙個證書申請,然後生成對應的csr檔案
我們在adfs伺服器的iis管理控制台下;伺服器證書----建立證書申請
免費公網證書申請
在此我們使用沃通
我們定義需要申請的ssl證書網域名稱名稱
提交後,我們需要提交csr檔案來生成證書
我們單擊提交csr選項,然後選擇---方式二,自己提交csr檔案
然後我們需要將該證書完成建立及,匯入帶有私鑰的證書
完成證書申請
我們匯出該證書
證書匯出完成
證書準備好後,我們解析來就是在adfs伺服器本地計算機儲存中安裝新的證書
注:由於我們在adfs伺服器上的iis上申請證書的,所以我們無需要下面操作的步驟,我們第一步跳過即可
在本地計算機證書儲存中安裝新的證書
步驟 1: 在本地計算機證書儲存中安裝新的證書
按照以下步驟為新安裝的本地計算機證書儲存中的證書。
然後單擊 [啟動]、 [執行]。
「mmc"並輸入。
[檔案]從 [新增 / 刪除管理單元中單擊。
[管理單元]從列表 [證書],然後選擇 [新增單擊。啟動證書管理單元嚮導。
選擇計算機帳戶,然後單擊下一步。
選擇本地計算機: (執行此控制台的計算機),然後單擊完成。
[請單擊確定。
控制台根 \certificates (本地計算機) \personal\certificates展開。
[證書[所有任務]、 [匯入] 右鍵單擊,然後單擊。
步驟 2: 新增新證書的專用金鑰訪問 ad fs 服務帳戶
新增新證書的專用金鑰的許可權 ad fs 服務帳戶,請執行以下步驟。
只是繼續開啟本地計算機的證書儲存區選擇匯入證書。
用滑鼠右鍵單擊證書,然後 [所有任務]、 [管理專用金鑰] (私有金鑰管理) 單擊。
注意:您需要執行以下命令,如果不能管理私鑰。
certutil -repairstore my *
adfs 服務授予讀取許可權或更高版本上的帳戶並新增正在執行的帳戶。
以下步驟,我們需要我們只需要在adfs2.0下執行,如果是adfs3.0的話就無需要以下步驟了
執行在windows2008r2上的adfs伺服器(聯合身份驗證服務)是需要做以下第三步驟的配置的
執行在windows2012以上的adfs伺服器(聯合身份驗證服務)是不需要做以下第三步驟的配置的,直接跳過即可
s 管理器中,乙個新的證書繫結到的 ad fs 的 web 站點
使用 iis 管理器,請按照以下步驟中,您的新證書鏈結到 ad fs web 站點將。
開啟 internet information services (iis) 管理器管理單元。
瀏覽到web 站點的預設值。
右鍵單擊預設的 web 站點,然後選擇編輯繫結。
[https]然後 [編輯單擊。
從 ssl 證書中選擇相應的證書。
然後單擊 [確定]、 [關閉]。
步驟 4: 配置 ad fs 伺服器服務要使用的新證書
注意:adfs2.0版本為windows2008r2系統自帶的windows活動目錄聯合身份驗證服務;
windows2012以上版本為adfs 3.0
可以使用 ad fs 伺服器服務新證書,請按照以下步驟來配置。
開啟 ad fs 2.0 管理。
ad fs 2.0 \service\certificates開啟。
[證書右鍵單擊 [設定服務通訊證書] (服務通訊的證書設定) 選擇。
從證書選擇列表中選擇新的證書。
[請單擊確定。
注意: 您可能會看到乙個對話方塊,其中包含以下訊息:
證書金鑰長度是少於 2048 位。證書金鑰大小小於 2048 位可能存在安全風險,並不建議。您還要繼續嗎?
後此訊息 [是將顯示以下對話方塊。
確保選定證書的專用金鑰對此聯合身份驗證服務的伺服器場中每台伺服器上的服務帳戶可以訪問。
由於此過程完成後在第 2 步 [確定,然後退出。
我們已經可以看見證書的頒發者為:cn=ca 沃通免費ssl證書
注:如果有adfs**伺服器的話,我們需要直接重新執行adfs的配置嚮導
最後我們發現替換證書後,沒有生效,還是原來的舊的證書資訊,所以我們需要手動強制更新;
首先檢視當前本地計算機下的個人證書下的資訊;我們檢視到是有兩張證書的,一張是原來的,一張是新申請的;
我們刪除預設證書即可;
最後總結,作為乙個adfs伺服器不建議安裝iis服務
我們新增新的證書需要更具以上資訊來新建新增
ADFS及ADFS Proxy證書過期處理
我們在給客戶做混合部署的時候,如果客戶需要實現sso的話,我們就需要給客戶搭建adfs及adfs proxy,以實現使用者的sso需求。部署adfs及adfs proxy是需要購買第3方證書的。如果此證書過期的話sso就會受到影響。如果證書過期的話,我們可以採用以下簡單的方法進行新證書的更換 adf...
部署ADFS聯合伺服器場
在adfs 服務中,每個聯合驗證伺服器都必須要加入域。伺服器wap可以加入域,也可以不加域。如果web server只支援claims aware 的應用,那麼這個web server 不一定需要加入域。為什麼 不知道 證書 公鑰 私鑰 在聯合驗證伺服器場中,adfs需要用到ssl來進行驗證服務。場...
奇怪的證書服務
昨天自己配好了證書服務,並且為另外乙個客戶端的機器頒發了客戶端證書.然後,在那個客戶端機器上再裝乙個上海ca www.sheca 發的證書。在客戶端機器上瀏覽頁面時,出現選框,讓我選是使用哪個證書 我自己的證書伺服器頒發的還是上海ca頒發的 當選擇前者時,一切正常,可以讀取證書內容 當選擇後者時,頁...