ADFS och WAP SSL-administration

Introduktion

Active Directory Federation Services (ADFS) fungerar som single sign-on (SSO) mellan olika organisationer och system, vilket gör det möjligt att använda sitt Active Directory-login för att komma åt resurser utanför den egna organisationen.

Web Application Proxy (WAP) är en tjänst på Remote Access-servern som ger åtkomst till interna webbapplikationer för externa användare, och den använder ADFS för att validera inloggningen.

Eftersom certifikatet ska installeras på flera servrar är det smidigast att ha certifikatet i .PFX-format.

Du kan få certifikatet antingen genom att använda vår CSR-tjänst eller genom att exportera certifikatet från MMC-konsolen när det är installerat.

Börja med att installera certifikatet på samtliga servrar, både ADFS- och WAP-servrarna.

Följ sedan Konfiguration på ADFS.

Avsluta med Konfiguration på WAP.

Exportera certifikat till .PFX-fil

1. Logga in på servern med ett administratörskonto.

2. Tryck på Windows-tangenten + R

Skriv mmc.exe

Klicka på OK.

3. Under File, klicka på Add/Remove Snap-in.

4. Välj Certificates.

Klicka på Add.

5. Välj Computer account.

Klicka på Next.

6. Välj Local computer.

Klicka på Finish.

7. Expandera filträdet tills mappen Certificates under Personal blir synlig och klicka på den.

Högerklicka på det certifikat du vill exportera.

Välj All Tasks.

Klicka på Export.

8. Välj Yes, export the private key.

Klicka på Next.

9. Välj Personal Information Exchange - PKCS #12 (.PFX).

Klicka på Next.

10. Markera Password: och ange ett lösenord som skyddar .PFX-filen (kom ihåg att spara lösenordet på ett säkert ställe).

Klicka på Next.

11. Välj plats och filnamn för att spara .PFX-filen. Ge den ett namn som gör det enkelt att identifiera den.

Klicka på Next.

Klicka på Finish.

Installera certifikat genom import av .PFX-fil

1. Logga in på servern med ett administratörskonto.

Spara den mottagna filen på en plats där du enkelt hittar den, till exempel på skrivbordet.

2. Tryck på Windows-tangenten + R

Skriv mmc.exe

Klicka på OK.

3. Under File, klicka på Add/Remove Snap-in.

4. Välj Certificates.

Klicka på Add.

5. Välj Computer account.

Klicka på Next.

6. Välj Local computer.

Klicka på Finish.

7. Expandera filträdet tills mappen Personal blir synlig.

Högerklicka på Personal.

Välj All Tasks.

Klicka på Import.

8. Klicka på Browse och leta upp .PFX-filen.

9. Ändra filformat till Personal Information Exchange (*.pfx;*.p12) i det nedre högra hörnet och välj rätt fil.

Klicka på Open.

Klicka på Next.

10. Om filen är lösenordsskyddad (vilket den normalt är), ange lösenordet här.

Om du använt vår CSR-tjänst har du fått koden via SMS.

Klicka på Next.

11. Välj Automatically select the certificate store based on the type of certificate.

Klicka på Next.

Klicka på Finish.

Konfiguration på ADFS

1. Logga in på den primära ADFS-servern med ett administratörskonto.

2. Öppna PowerShell som administratör.

3. Kör följande kommando för att se alla installerade certifikat:

dir Cert:\LocalMachine\My\

4. Kör följande kommando för att använda det nya certifikatet:

Set-AdfsSslCertificate -Thumbprint

5. Kör följande kommando för att verifiera att certifikatet har aktiverats korrekt:

Get-AdfsSslCertificate

6. Om ADFS-servrarna kör Windows Server 2016 eller senare kommer den primära servern automatiskt att uppdatera de sekundära servrarna. Om det är Windows Server 2012 måste detta steg upprepas på varje enskild sekundär server.

Konfiguration på WAP

1. Logga in på WAP-servern med ett administratörskonto.

2. Öppna PowerShell som administratör.

3. Kör följande kommando för att använda det nya certifikatet:

4. Set-WebApplicationProxySslCertificate -Thumbprint

5. Kör följande kommando för att verifiera att certifikatet har aktiverats korrekt:

Get-WebApplicationProxySslCertificate

6. Detta måste upprepas på samtliga WAP-servrar.