Jump to content

Federation Services - Zertifikat Template?


Moped
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Empfohlene Beiträge

Hallo Zusammen,

 

ich kämpfe gerade mit einem Zertifikats Problem. Ich möchte auf einem Server die Federation Services installieren und habe dafür gem. dieser Anleitung ein neues Zertifikat Template erstellt 

Dafür habe ich ein Webserver Zertifikat kopiert.

Jetzt sind aber auch auf allen DC's die Zertifikate ausgetauscht worden. Ich habe bei dem neuen Template in den Sicherheitsoptionen den ADFS Server explizit eingetragen, aber auch noch "Jeder" drinne gehabt..... :ohje:

Jetzt meine Frage, wenn ich das Template wieder lösche, oder die Berechtigung "Jeder" wieder wegnehme, ziehen sich die DC's dann wieder die Zertifikate die sie vorher alle hatten?

So dass ich den Stand von vor der Änderung wieder bekomme?

Link zu diesem Kommentar

Verstehe dein Problem grad nicht. Das kann auch an deiner Beschreibung liegen. Was haben die DC Zertifikate mit deinem Template zu tun? Und natürlich kann man die Berechtigungen auf einem Template jederzeit anpassen. Wenn also deine DCs jetzt das falsche (vermutlich das ADFS Webservertemplate) Template verwendet haben, dann hast du die Berechtigungen falsch gesetzt und korrigierst das. Danach wirfst du das Domain Controller Template und das Domänencontrollerauthentifizierung Template und läßt nur das Kerberos-Authentifizierungs Template drin. ;) Danach löschst du die Zertifikate auf den DCs und startest sie der Reihe nach mal durch. Sie sollten sich dann ein Zertifikat basierend auf der Kerberos-Vorlage ziehen.

Link zu diesem Kommentar

Hi Norbert, 

ok, liegt wohl an meiner Erklärung. :rolleyes:
Also, ich habe eine WebServer Vorlage kopiert um dann in die Zertifikatsvorlagen aufgenommen. Die Berechtigungen sind in Bild 1 zu sehen. Der erste User in dem Bild bin ich, und der Zweite ist der ADFS Server mit "Registrieren" Rechte.

Das zweite Bild zeigt die Zertifikate auf dem DC. Das markierte ist das neue Template und soll da nicht rein. Weil ich jetzt ein Problem mit einer Anwendung habe in der die Authentifizierung über den Domänen-Namen nicht mehr klappt.

 

Hoffe ich habe das jetzt verständlicher erklärt :dontcare:

 

 

564995069_ADFSZertifikat.jpg.849c57b61e95e5ae07247176593e63ec.jpgZertifikate.jpg.787c1fdd3a26c74a95d4212429e99e9a.jpg

Link zu diesem Kommentar

Auf deinem screenshot oben sieht man doch schön, dass bis auf zwei Zertifikate sowieso alle anderen abgelaufen sind. Die können raus. Und das auf deiner "falschen" Vorlage basierende kann auch weg. Danach wird automatisch das bisherige verwendet. Jeder muss nicht raus. Wer hat denn das Recht Zertifikate auf Basis dieses Templates anzufordern (registrieren und automatisch registrieren)? Scheint, als wenn dir das mit den Zertifikaten nicht so ganz glatt von der Hand geht. ;)

Link zu diesem Kommentar
vor 7 Minuten schrieb NorbertFe:

 Scheint, als wenn dir das mit den Zertifikaten nicht so ganz glatt von der Hand geht. ;)

Ja, das stimmt. :nosmile: Ist hier nicht meine Hauptaufgabe. Du hast mir vor ein paar Jahren, als du mal bei uns warst, auch da schon geholfen. Ja ich weiß, dann sollte man sich jemanden ins Haus holen...

 

vor 10 Minuten schrieb NorbertFe:

Jeder muss nicht raus. Wer hat denn das Recht Zertifikate auf Basis dieses Templates anzufordern (registrieren und automatisch registrieren)?

 

"jeder" hat das recht "registrieren und automatisch registrieren". ok, also deaktiviere ich das bei "jeder" :thumb1:

Link zu diesem Kommentar
Gerade eben schrieb Moped:

Du hast mir vor ein paar Jahren, als du mal bei uns warst, auch da schon geholfen.

Ups :) hab ich grad so keine Idee wer sich hinter deinem Nick verbirgt. Im Zweifel schreib mich mal privat an, man kann mich ja immer noch kaufen ;)

vor 1 Minute schrieb Moped:

"jeder" hat das recht "registrieren und automatisch registrieren". ok, also deaktiviere ich das bei "jeder" :thumb1:

Korrekt.

Link zu diesem Kommentar

Moin,

 

ich möchte hier aber noch anmerken, dass man in aller Regel für ADFS kein Zertifikat von einer internen PKI einsetzt. Der Witz ist ja, dass man Federation auch von außen machen kann (muss man nicht, aber die meisten Unternehmen wollen das sofort oder später). Dafür sollte man ein TLS-Zertifikat von einer "echten", also kommerziellen PKI nutzen.

 

Die Zertifikate hingegen, die ADFS ohnehin selbstsigniert ausstellt, sollten auch in diesem Modus bleiben, also auch nicht von einer eigenen PKI ausgestellt werden.

 

Gruß, Nils

 

Link zu diesem Kommentar
Der letzte Beitrag zu diesem Thema ist mehr als 180 Tage alt. Bitte erstelle einen neuen Beitrag zu Deiner Anfrage!

Schreibe einen Kommentar

Du kannst jetzt antworten und Dich später registrieren. Falls Du bereits ein Mitglied bist, logge Dich jetzt ein.

Gast
Auf dieses Thema antworten...

×   Du hast formatierten Text eingefügt.   Formatierung jetzt entfernen

  Only 75 emoji are allowed.

×   Dein Link wurde automatisch eingebettet.   Einbetten rückgängig machen und als Link darstellen

×   Dein vorheriger Inhalt wurde wiederhergestellt.   Editor-Fenster leeren

×   Du kannst Bilder nicht direkt einfügen. Lade Bilder hoch oder lade sie von einer URL.

×
×
  • Neu erstellen...