在 Windows Server 2016 中管理 AD FS 和 WAP 中的 SSL 证书 |
您所在的位置:网站首页 › 微软账户怎么绑定电脑设备 › 在 Windows Server 2016 中管理 AD FS 和 WAP 中的 SSL 证书 |
|
在 Windows Server 2016 中管理 AD FS 和 WAP 中的 SSL 证书
项目
04/11/2023
本文介绍如何将新的 SSL 证书部署到 AD FS 和 WAP 服务器。 注意 若要在将来为 AD FS 场替换 SSL 证书,建议的方法是使用 Azure AD Connect。 有关详细信息,请参阅更新 Active Directory 联合身份验证服务 (AD FS) 场的 SSL 证书 获取 SSL 证书对于生产 AD FS 场,建议使用公开信任的 SSL 证书。 它通常是通过向第三方公共证书提供程序提交证书签名请求 (CSR) 获得的。 有多种方法可以生成 CSR,例如从 Windows 7 或更高版本的电脑生成 CSR。 供应商应提供相关文档。 确保证书满足 AD FS 和 Web 应用程序代理 SSL 证书要求 需要多少证书建议在所有 AD FS 和 Web 应用程序代理服务器上使用通用 SSL 证书。 有关详细要求,请参阅 AD FS 和 Web 应用程序代理 SSL 证书要求文档 SSL 证书要求有关命名、信任根和扩展之类的要求,请参阅 AD FS 和 Web 应用程序代理 SSL 证书要求文档 替换 AD FS 的 SSL 证书注意 AD FS SSL 证书与 AD FS 管理管理单元中的 AD FS 服务通信证书不同。 若要更改 AD FS SSL 证书,需要使用 PowerShell。 首先,确定 AD FS 服务器运行的证书绑定模式:默认证书身份验证绑定或备用客户端 TLS 绑定模式。 替换在默认证书身份验证绑定模式下运行的 AD FS 的 SSL 证书默认情况下,AD FS 在端口 443 上执行设备证书身份验证,在端口 49443(或某个非 443 的可配置端口)上执行用户证书身份验证。 在此模式下,使用 PowerShell cmdlet Set-AdfsSslCertificate 来管理 SSL 证书。 请遵循以下步骤进行配置: 首先,需要获取新证书。 这通常是通过向第三方公共证书提供程序提交证书签名请求 (CSR) 来完成的。 有多种方法可以生成 CSR,例如从 Windows 7 或更高版本的电脑生成 CSR。 供应商应提供相关文档。 确保证书满足 AD FS 和 Web 应用程序代理 SSL 证书要求从证书提供程序获取响应后,将其导入每个 AD FS 和 Web 应用程序代理服务器上的本地计算机存储。 在主 AD FS 服务器上,使用以下 cmdlet 安装新的 SSL 证书 Set-AdfsSslCertificate -Thumbprint ''可以通过执行以下命令找到证书指纹: dir Cert:\LocalMachine\My\ 其他说明 Set-AdfsSslCertificate cmdlet 是一个多节点 cmdlet;这意味着它只需要从主节点运行,然后场中的所有节点都会被更新。 这是 Server 2016 的新增功能。 在 Server 2012 R2 上,必须在每台服务器上运行 Set-AdfsSslCertificate。 Set-AdfsSslCertificate cmdlet 只能在主服务器上运行。 主服务器必须运行 Server 2016,“场行为级别”应提高到 2016。 Set-AdfsSslCertificate cmdlet 将使用 PowerShell 远程处理来配置其他 AD FS 服务器,请确保端口 5985 (TCP) 在其他节点上处于打开状态。 Set-AdfsSslCertificate cmdlet 将向 adfssrv 主体授予对 SSL 证书的私钥的读取权限。 此主体表示 AD FS 服务。 无需向 AD FS 服务帐户授予对 SSL 证书的私钥的读取访问权限。 替换在备用 TLS 绑定模式下运行的 AD FS 的 SSL 证书在备用客户端 TLS 绑定模式下进行配置时,AD FS 在端口 443 上执行设备证书身份验证,并在另一主机名下的端口 443 上执行用户证书身份验证。 用户证书主机名是前面带有“certauth”的 AD FS 主机名,例如“certauth.fs.contoso.com”。 在此模式下,使用 PowerShell cmdlet Set-AdfsAlternateTlsClientBinding 来管理 SSL 证书。 这不仅会管理备用客户端 TLS 绑定,还会管理 AD FS 在其上设置 SSL 证书的所有其他绑定。 请遵循以下步骤进行配置: 首先,需要获取新证书。 这通常是通过向第三方公共证书提供程序提交证书签名请求 (CSR) 来完成的。 有多种方法可以生成 CSR,例如从 Windows 7 或更高版本的电脑生成 CSR。 供应商应提供相关文档。 确保证书满足 AD FS 和 Web 应用程序代理 SSL 证书要求从证书提供程序获取响应后,将其导入每个 AD FS 和 Web 应用程序代理服务器上的本地计算机存储。 在主 AD FS 服务器上,使用以下 cmdlet 安装新的 SSL 证书 Set-AdfsAlternateTlsClientBinding -Thumbprint ''可以通过执行以下命令找到证书指纹: dir Cert:\LocalMachine\My\ 其他说明 Set-AdfsAlternateTlsClientBinding cmdlet 是一个多节点 cmdlet;这意味着它只需要从主节点运行,然后场中的所有节点都会被更新。 Set-AdfsAlternateTlsClientBinding cmdlet 只能在主服务器上运行。 主服务器必须运行 Server 2016,“场行为级别”应提高到 2016。 Set-AdfsAlternateTlsClientBinding cmdlet 将使用 PowerShell 远程处理来配置其他 AD FS 服务器,请确保端口 5985 (TCP) 在其他节点上处于打开状态。 Set-AdfsAlternateTlsClientBinding cmdlet 将向 adfssrv 主体授予对 SSL 证书的私钥的读取权限。 此主体表示 AD FS 服务。 无需向 AD FS 服务帐户授予对 SSL 证书的私钥的读取访问权限。 替换 Web 应用程序代理的 SSL 证书若要在 WAP 上配置默认证书身份验证绑定或备用客户端 TLS 绑定模式,可以使用 Set-WebApplicationProxySslCertificate cmdlet。 若要替换 Web 应用程序代理 SSL 证书,请在每个 Web 应用程序代理服务器上使用以下 cmdlet 安装新的 SSL 证书: Set-WebApplicationProxySslCertificate -Thumbprint ''如果上述 cmdlet 因旧证书已过期而失败,请使用以下 cmdlet 重新配置代理: $cred = Get-Credential输入作为 AD FS 服务器本地管理员的域用户的凭据 Install-WebApplicationProxy -FederationServiceTrustCredential $cred -CertificateThumbprint '' -FederationServiceName 'fs.contoso.com' 其他参考 AD FS 对证书身份验证的备用主机名绑定的支持 AD FS 和证书 KeySpec 属性信息 |
今日新闻 |
推荐新闻 |
| CopyRight 2018-2019 办公设备维修网 版权所有 豫ICP备15022753号-3 |