Federation Services - Zertifikat Template?

[Moped 11]

Hallo Zusammen,

 

ich kämpfe gerade mit einem Zertifikats Problem. Ich möchte auf einem Server die Federation Services installieren und habe dafür gem. dieser Anleitung ein neues Zertifikat Template erstellt 

Dafür habe ich ein Webserver Zertifikat kopiert.

Jetzt sind aber auch auf allen DC's die Zertifikate ausgetauscht worden. Ich habe bei dem neuen Template in den Sicherheitsoptionen den ADFS Server explizit eingetragen, aber auch noch "Jeder" drinne gehabt..... 

Jetzt meine Frage, wenn ich das Template wieder lösche, oder die Berechtigung "Jeder" wieder wegnehme, ziehen sich die DC's dann wieder die Zertifikate die sie vorher alle hatten?

So dass ich den Stand von vor der Änderung wieder bekomme?

[NorbertFe 2.045]

Verstehe dein Problem grad nicht. Das kann auch an deiner Beschreibung liegen. Was haben die DC Zertifikate mit deinem Template zu tun? Und natürlich kann man die Berechtigungen auf einem Template jederzeit anpassen. Wenn also deine DCs jetzt das falsche (vermutlich das ADFS Webservertemplate) Template verwendet haben, dann hast du die Berechtigungen falsch gesetzt und korrigierst das. Danach wirfst du das Domain Controller Template und das Domänencontrollerauthentifizierung Template und läßt nur das Kerberos-Authentifizierungs Template drin. ;) Danach löschst du die Zertifikate auf den DCs und startest sie der Reihe nach mal durch. Sie sollten sich dann ein Zertifikat basierend auf der Kerberos-Vorlage ziehen.

[Moped 11]

Hi Norbert, 

ok, liegt wohl an meiner Erklärung. 
Also, ich habe eine WebServer Vorlage kopiert um dann in die Zertifikatsvorlagen aufgenommen. Die Berechtigungen sind in Bild 1 zu sehen. Der erste User in dem Bild bin ich, und der Zweite ist der ADFS Server mit "Registrieren" Rechte.

Das zweite Bild zeigt die Zertifikate auf dem DC. Das markierte ist das neue Template und soll da nicht rein. Weil ich jetzt ein Problem mit einer Anwendung habe in der die Authentifizierung über den Domänen-Namen nicht mehr klappt.

 

Hoffe ich habe das jetzt verständlicher erklärt 

 

 

[NorbertFe 2.045]

Ja und? Ich hab doch geschrieben, was du tun musst.

vor 8 Minuten schrieb Moped:

Das markierte ist das neue Template und soll da nicht rein.

Nein das ist das neue Zertifikat was der DC basierend auf dem neuen Template gezogen hat! Also Template Berechtigungen anpassen. Zertifikat im DC löschen FERTIG

[Moped 11]

vor 24 Minuten schrieb NorbertFe:

Also Template Berechtigungen anpassen. Zertifikat im DC löschen FERTIG

Soll ich in der Vorlage "jeder" komplett löschen, oder Berechtigungen anpassen?

 

Also lösche ich das "Domönencontrollerauthentifizierungs"- und das "ADFS" Zertifikat auf den DC's?

[NorbertFe 2.045]

Auf deinem screenshot oben sieht man doch schön, dass bis auf zwei Zertifikate sowieso alle anderen abgelaufen sind. Die können raus. Und das auf deiner "falschen" Vorlage basierende kann auch weg. Danach wird automatisch das bisherige verwendet. Jeder muss nicht raus. Wer hat denn das Recht Zertifikate auf Basis dieses Templates anzufordern (registrieren und automatisch registrieren)? Scheint, als wenn dir das mit den Zertifikaten nicht so ganz glatt von der Hand geht. ;)

[Moped 11]

vor 7 Minuten schrieb NorbertFe:

 Scheint, als wenn dir das mit den Zertifikaten nicht so ganz glatt von der Hand geht. ;)

Ja, das stimmt.  Ist hier nicht meine Hauptaufgabe. Du hast mir vor ein paar Jahren, als du mal bei uns warst, auch da schon geholfen. Ja ich weiß, dann sollte man sich jemanden ins Haus holen...

 

vor 10 Minuten schrieb NorbertFe:

Jeder muss nicht raus. Wer hat denn das Recht Zertifikate auf Basis dieses Templates anzufordern (registrieren und automatisch registrieren)?

 

"jeder" hat das recht "registrieren und automatisch registrieren". ok, also deaktiviere ich das bei "jeder" 

[NorbertFe 2.045]

Gerade eben schrieb Moped:

Du hast mir vor ein paar Jahren, als du mal bei uns warst, auch da schon geholfen.

Ups :) hab ich grad so keine Idee wer sich hinter deinem Nick verbirgt. Im Zweifel schreib mich mal privat an, man kann mich ja immer noch kaufen ;)

vor 1 Minute schrieb Moped:

"jeder" hat das recht "registrieren und automatisch registrieren". ok, also deaktiviere ich das bei "jeder" 

Korrekt.

[Moped 11]

vor 1 Minute schrieb NorbertFe:

Ups :) hab ich grad so keine Idee wer sich hinter deinem Nick verbirgt. 

Alles gut, wollte das ja nicht irgendwie hier ausnutzen. Hast mir ja auch so geholfen  

[NilsK 2.939]

Moin,

 

ich möchte hier aber noch anmerken, dass man in aller Regel für ADFS kein Zertifikat von einer internen PKI einsetzt. Der Witz ist ja, dass man Federation auch von außen machen kann (muss man nicht, aber die meisten Unternehmen wollen das sofort oder später). Dafür sollte man ein TLS-Zertifikat von einer "echten", also kommerziellen PKI nutzen.

 

Die Zertifikate hingegen, die ADFS ohnehin selbstsigniert ausstellt, sollten auch in diesem Modus bleiben, also auch nicht von einer eigenen PKI ausgestellt werden.

 

Gruß, Nils

 

[NorbertFe 2.045]

Gerade eben schrieb NilsK:

sollten auch in diesem Modus bleiben, also auch nicht von einer eigenen PKI ausgestellt werden

vor allem sollte man sie direkt nach der Installation mit deutlich längerer Dauer ausstellen als die 12 Monate (afair).

[NilsK 2.939]

Moin,

 

ja, das gilt als Best Practice. Das liegt daran, dass man diese Zertifikate mit der Gegenseite, also den Application Providern austauschen muss. Da das eigentlich nie ohne Unterbrechung funktioniert (obwohl das Protokoll das möglich machen würde), möchte man das nicht jedes Jahr machen müssen.

 

Gruß, Nils