您的当前位置:首页>全部文章>文章详情

Windows ADFS域控配置及维护

Gathin发表于:2024-03-01 16:04:16浏览:207次TAG: #ADFS #Windows

前言
这是一套之前一直在使用的ADFS验证登录的系统,架构是一台 win2012 server R2 的 ADFS 服务器(内还有 CS自签证书组件),另外是一台win2012 server R2 的 ADFS-Proxy 的 WEB远程代理服务器 对外域名访问; 由于自签证书未启动自动续期证书过期导致业务停止,现在我们来更新这个证书并创建他们的信任关系;
参考连接 https://blog.rmilne.ca/2014/04/28/how-to-install-adfs-2012-r2-for-office-365/
错误参考连接:https://blog.rmilne.ca/2015/04/20/adfs-2012-r2-web-application-proxy-re-establish-proxy-trust/
一、ADFS 服务器操作
1.打开mmc.exe->文件->添加或删除管理单元(里面找到“证书”添加)->选择”计算机账户”->保持下一步确定;
执行后再继续按下图操作:
图片alt

使用相同秘钥申请一个新的证书,修改模板配置时,使用如下配置:

图片alt
这样证书就申请完成了。

2.记录下该证书的指纹,打开ADFS 服务管理,修改通信证书为它

图片alt

更新通信证书也可以用命令行来代替

dir cert:\LocalMachine\My #获取新证书指纹,找到刚创建的证书指纹

Set-AdfsCertificate -CertificateType Service-Communications -Thumbprint 27B0D8A0520D65396B3711B35C45B6901BB22B0D #设置服务通信证书
Restart-Service adfssrv #重启ADFS服务

更新SSL 证书绑定

#Set-AdfsSslCertificate -Thumbprint 27B0D8A0520D65396B3711B35C45B6901BB22B0D #设置SSL证书,不确定行不行,这里 我用其他命令来实现
netsh http show sslcert  ##显示当前已经配置的证书信息记住它
#删除这
netsh http delete sslcert hostnameport=fs.xxx.com:443 (需要删除多个,fs.xxx.com:49443)
#删除后重新创建,这里命令不能一起执行先执行netsh 再执行  http 再执行你的ADD命令
netsh
http 
add sslcert hostnameport=localhost:443 certhash=27B0D8A0520D65396B3711B35C45B6901BB22B0D appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY

add sslcert hostnameport=fs.xxxx.com:443 certhash=27B0D8A0520D65396B3711B35C45B6901BB22B0D appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY sslctlstorename=AdfsTrustedDevices

add sslcert hostnameport=fs.xxxx.com:49443 certhash=27B0D8A0520D65396B3711B35C45B6901BB22B0D appid={5d89a20c-beab-4389-9447-324788eb944a} certstorename=MY clientcertnegotiation=enable

最后重启下 adfs服务

3.准备导出刚刚的证书,导出到另外一台adfs proxy服务器中配置
图片alt

二、ADFS Proxy服务器操作
1.将第一步中的 SSL证书 导入到本机证书池中,然后执行如下命令安装证书

##查看当前已经配置的证书
Get-WebApplicationProxySslCertificate

##安装新的指纹证书
Set-WebApplicationProxySslCertificate -Thumbprint 27B0D8A0520D65396B3711B35C45B6901BB22B0D

2.证书更新后如果信任关系通过不了,打开注册表 regedit.exe,将图片中的值改为1,(目前为2为已经配置了)
图片alt

3.改为1后就可以重新配置这个信任关系,图片中的 servicename 改为你 fs.xxxx.com , 用户名密码 改为 你的 ad fs 服务器的 admin 账号密码 , 下一步 然后选择 你之前导入的证书,确认就可以完成配置

图片alt

也可以用下面命令来完成 2,3步骤


输入如下命令后会弹出,账密对话框,这个就是填写 ad fs 服务器那边的账号密码
Install-WebApplicationProxy –CertificateThumbprint 27B0D8A0520D65396B3711B35C45B6901BB22B0D -FederationServiceName fs.xxxx.com

在代理上重新启动 AD FS 服务后,将在 AD FS 服务器和代理上记录成功消息。

栏目分类全部>
腾讯云采购季云服务器一折促销
标签云
#EKS #vim #ADFS #awscli #proxysql #Linux #DMS #内核 #TiDB #mysql优化 #prometheus #layui #privoxy #代理服务器 #Lambda #sql #profile #fdisk #MySql #ThinkPHP
推荐文章
© 2022 zyico.cn 阿宁哥 闽ICP备16027347号
Powered by GouguCMS