Damit wir in meinem nächsten Blog-Beitrag die Active Directory Federation Services (ADFS) auf einem separaten Server bereitstellen können, müssen wir als erstes innerhalb der Zertifizierungsstelle ein Zertifikat aus den Zertifikat-Templates bereitstellen, dieses Zertifikate innerhalb der AD-Infrastruktur veröffentlichen um dann bei der späteren Installation des ADFS-Servers das Zertifikat bereitzustellen. In vielen Anleitungen finden Sie irrtümlich den Hinweise ein Wildcart-Zertifikat bereitzustellen. Dies ist durch den Einsatz einer Zertifizierungsstelle nicht nötig. In der TechNet findet sich sogar der Hinweis, dass dies von Seiten Microsoft nicht unterstützt wird.
Hinweis: Um dieses Beispiel umzusetzen, benötigen Sie eine Zertifizierungsstelle innerhalb Ihrer Umgebung. Wenn Sie diese nicht besitzen, können Sie diese nach der folgenden Anleitung bereitstellen. Bitte beachten Sie, dass die hier beschriebenen Szenarien ausschließlich für Testumgebungen gelten. Sollten Sie Hilfe bei der Bereitstellung in Produktivumgebungen benötigen, so schreiben Sie mich gerne an. Ebenfalls ist der zukünftige ADFS-Server (BL-ADF-01) schon Mitglied meiner Domäne.
Melden Sie sich an Ihrer Server an, auf dem die Zertifizierungsstelle (CA) bereitgestellt wurde. Klicken Sie mit der rechte Maustaste den Startbutton von Windows Server 2012 R2 und wählen Sie im Kontextmenü die Option “Ausführen”. Geben Sie nun im Eingabefeld “Öffnen” den Befehl “certsrv.msc” ein und klicken Sie auf “OK”.
Als erstes werden wir nun aus einem Zertifikat für die ADFS-Dienste aus einem Zertifikat-Template erstellen. Extrahieren Sie hierzu die Pfadstruktur indem Sie auf den Namen des Servers klicken, der als CA dargestellt wird. In meinem Beispiel “blankertz-pm-BL-ADS-01-CA”. Klicken Sie mit der rechten Maustaste und wählen Sie im Kontextmenü die Option “Verwalten”.
Suchen Sie die Zertifikatvorlage “Webserver”. Klicken Sie mit der rechten Maustaste auf die Vorlage und wählen Sie im Kontextmenü die Option “Vorlage duplizieren”.
Klicken Sie als erstes auf den Reiter “Allgemein”. Geben Sie hier einen eindeutigen Namen ein. In meinem Beispiel “ADFS Server SSL Zertifikate”. Setzen Sie den Haken bei der Option “Zertifikate in Active Directory veröffentlichen”. Klicken Sie danach auf den Reiter “Antragstellennamen”.
Wählen Sie hier die Option “Aus diesen Informationen in Active Directory erstellen” aus. Wählen Sie im Auswahlfeld die Option “Allgemeiner Name” und entfernen Sie den Haken bei der Option “Benutzerprinzipalname (UPN)” und wählen Sie die stattdessen die Option “DNS-Name” aus. Wählen Sie nun die Registerkarte “Sicherheit” aus.
Fügen Sie hier den zukünftigen ADFS-Server hinzu. Klicken Sie hierzu auf den Button “Hinzufügen”. Da standardmäßig nicht nach Computer-Accounts gesucht wird, müssen Sie dies erst aktivieren. Klicken Sie hierzu auf den Button “Objekttypen” und aktivieren Sie die Option “Computer”. Schließen Sie danach wieder das Fenster “Objekttypen” in dem Sie auf “OK” klicken. Geben Sie nun den Servernamen ein – in meinem Beispiel “BL-ADF-01” und klicken Sie auf “OK”. Markieren Sie nun noch die Option “Registrieren” unter den Berechtigungen. Die Ansicht müsste nun wie folgt aussehen.
Klicken Sie anschließend auf “OK”. Schließen Sie ebenfalls die Zertifikatvorlage. Aktivieren Sie als nächstes das gerade zuvor erstellte Template. Klicken Sie hierzu wieder mit der rechten Maustaste auf den Ordner “Zertifikatvorlagen”. Wählen Sie im Kontextmenü die Option “Neu” und dort auf die Option “Auszustellende Zertifikatvorlage” aus.
Wählen Sie nun das zuvor erstelle Zertifikat aus und klicken Sie auf “OK”.
Wir haben nun das Zertifikat veröffentlicht. In meinem nächsten Blogbeitrag werden wir nun die ADFS-Services bereitstellen.
Schreibe einen Kommentar