Jump to content

Federation Services - Zertifikat Template?


Moped

Recommended Posts

Hallo Zusammen,

 

ich kämpfe gerade mit einem Zertifikats Problem. Ich möchte auf einem Server die Federation Services installieren und habe dafür gem. dieser Anleitung ein neues Zertifikat Template erstellt 

Dafür habe ich ein Webserver Zertifikat kopiert.

Jetzt sind aber auch auf allen DC's die Zertifikate ausgetauscht worden. Ich habe bei dem neuen Template in den Sicherheitsoptionen den ADFS Server explizit eingetragen, aber auch noch "Jeder" drinne gehabt..... :ohje:

Jetzt meine Frage, wenn ich das Template wieder lösche, oder die Berechtigung "Jeder" wieder wegnehme, ziehen sich die DC's dann wieder die Zertifikate die sie vorher alle hatten?

So dass ich den Stand von vor der Änderung wieder bekomme?

Link to comment

Verstehe dein Problem grad nicht. Das kann auch an deiner Beschreibung liegen. Was haben die DC Zertifikate mit deinem Template zu tun? Und natürlich kann man die Berechtigungen auf einem Template jederzeit anpassen. Wenn also deine DCs jetzt das falsche (vermutlich das ADFS Webservertemplate) Template verwendet haben, dann hast du die Berechtigungen falsch gesetzt und korrigierst das. Danach wirfst du das Domain Controller Template und das Domänencontrollerauthentifizierung Template und läßt nur das Kerberos-Authentifizierungs Template drin. ;) Danach löschst du die Zertifikate auf den DCs und startest sie der Reihe nach mal durch. Sie sollten sich dann ein Zertifikat basierend auf der Kerberos-Vorlage ziehen.

Link to comment

Hi Norbert, 

ok, liegt wohl an meiner Erklärung. :rolleyes:
Also, ich habe eine WebServer Vorlage kopiert um dann in die Zertifikatsvorlagen aufgenommen. Die Berechtigungen sind in Bild 1 zu sehen. Der erste User in dem Bild bin ich, und der Zweite ist der ADFS Server mit "Registrieren" Rechte.

Das zweite Bild zeigt die Zertifikate auf dem DC. Das markierte ist das neue Template und soll da nicht rein. Weil ich jetzt ein Problem mit einer Anwendung habe in der die Authentifizierung über den Domänen-Namen nicht mehr klappt.

 

Hoffe ich habe das jetzt verständlicher erklärt :dontcare:

 

 

564995069_ADFSZertifikat.jpg.849c57b61e95e5ae07247176593e63ec.jpgZertifikate.jpg.787c1fdd3a26c74a95d4212429e99e9a.jpg

Link to comment

Auf deinem screenshot oben sieht man doch schön, dass bis auf zwei Zertifikate sowieso alle anderen abgelaufen sind. Die können raus. Und das auf deiner "falschen" Vorlage basierende kann auch weg. Danach wird automatisch das bisherige verwendet. Jeder muss nicht raus. Wer hat denn das Recht Zertifikate auf Basis dieses Templates anzufordern (registrieren und automatisch registrieren)? Scheint, als wenn dir das mit den Zertifikaten nicht so ganz glatt von der Hand geht. ;)

Link to comment
vor 7 Minuten schrieb NorbertFe:

 Scheint, als wenn dir das mit den Zertifikaten nicht so ganz glatt von der Hand geht. ;)

Ja, das stimmt. :nosmile: Ist hier nicht meine Hauptaufgabe. Du hast mir vor ein paar Jahren, als du mal bei uns warst, auch da schon geholfen. Ja ich weiß, dann sollte man sich jemanden ins Haus holen...

 

vor 10 Minuten schrieb NorbertFe:

Jeder muss nicht raus. Wer hat denn das Recht Zertifikate auf Basis dieses Templates anzufordern (registrieren und automatisch registrieren)?

 

"jeder" hat das recht "registrieren und automatisch registrieren". ok, also deaktiviere ich das bei "jeder" :thumb1:

Link to comment
Gerade eben schrieb Moped:

Du hast mir vor ein paar Jahren, als du mal bei uns warst, auch da schon geholfen.

Ups :) hab ich grad so keine Idee wer sich hinter deinem Nick verbirgt. Im Zweifel schreib mich mal privat an, man kann mich ja immer noch kaufen ;)

vor 1 Minute schrieb Moped:

"jeder" hat das recht "registrieren und automatisch registrieren". ok, also deaktiviere ich das bei "jeder" :thumb1:

Korrekt.

Link to comment

Moin,

 

ich möchte hier aber noch anmerken, dass man in aller Regel für ADFS kein Zertifikat von einer internen PKI einsetzt. Der Witz ist ja, dass man Federation auch von außen machen kann (muss man nicht, aber die meisten Unternehmen wollen das sofort oder später). Dafür sollte man ein TLS-Zertifikat von einer "echten", also kommerziellen PKI nutzen.

 

Die Zertifikate hingegen, die ADFS ohnehin selbstsigniert ausstellt, sollten auch in diesem Modus bleiben, also auch nicht von einer eigenen PKI ausgestellt werden.

 

Gruß, Nils

 

Link to comment

Join the conversation

You can post now and register later. If you have an account, sign in now to post with your account.

Guest
Reply to this topic...

×   Pasted as rich text.   Paste as plain text instead

  Only 75 emoji are allowed.

×   Your link has been automatically embedded.   Display as a link instead

×   Your previous content has been restored.   Clear editor

×   You cannot paste images directly. Upload or insert images from URL.

×
×
  • Create New...