安裝設(shè)置AD FS服務(wù)器所需證書(shū)

在配置Windows Server 2012 R2的AD FS服務(wù)器角色之前，我們必須先把它所需要使用到的服務(wù)器證書(shū)完成注冊(cè)，如此一來(lái)后續(xù)進(jìn)行發(fā)布所使用的相關(guān)預(yù)先驗(yàn)證，才能夠通過(guò)HTTPS了安全連接并完成驗(yàn)證程序。

關(guān)于AD FS主機(jī)上申請(qǐng)與注冊(cè)Web服務(wù)器證書(shū)的方法有兩種，分別是通過(guò)CA網(wǎng)站的連接以及使用“證書(shū)”管理工具來(lái)完成。

一般傳統(tǒng)的做法都會(huì)通過(guò)CA網(wǎng)站的連接方式來(lái)完成，不過(guò)這回筆者改用以MMC工具，來(lái)加入本地計(jì)算器的“證書(shū)”管理方式進(jìn)行。在成功加入之后，請(qǐng)?jiān)凇皞€(gè)人”節(jié)點(diǎn)上按下鼠標(biāo)右鍵點(diǎn)擊“所有任務(wù)→要求新證書(shū)”繼續(xù)。

在“選取證書(shū)注冊(cè)原則”頁(yè)面中，我們只要使用默認(rèn)的“Active Directory注冊(cè)原則”選項(xiàng)即可。點(diǎn)擊“下一步”按鈕。在“要求證書(shū)”頁(yè)面中，我們找到了特別開(kāi)放注冊(cè)的“Web服務(wù)器”證書(shū)模板，在勾選之后將會(huì)出現(xiàn)警示訊息，這表示此證書(shū)必須先完成相關(guān)屬性設(shè)置之后才能夠進(jìn)行注冊(cè)，而對(duì)一般用戶證書(shū)或計(jì)算機(jī)證書(shū)，則是不需特別設(shè)置證書(shū)屬性的。點(diǎn)擊此連接。

在“證書(shū)屬性”頁(yè)面中必須至少在“主體”的子頁(yè)面中加入主體名稱(chēng)中的一般名稱(chēng)字段與其值，以及位于別名中的DNS字段與其值，而這些域值便是用來(lái)驗(yàn)證證書(shū)所屬網(wǎng)址的正確性，因此必須正確輸入實(shí)際的連接地址（FQDN），以作為后續(xù) Web Application Proxy安全連接時(shí)的基本身份驗(yàn)證機(jī)制，進(jìn)而才能夠?qū)㈩A(yù)先驗(yàn)證的帳密信息，安全傳遞到內(nèi)部網(wǎng)絡(luò)中的Exchange Server網(wǎng)站虛擬目錄或是其他網(wǎng)站服務(wù)器。至于其他像組織名稱(chēng)、地區(qū)、部門(mén)等字段信息則可以選擇性來(lái)加入并設(shè)置。

接著您可以切換至“一般”頁(yè)面之中，來(lái)設(shè)置“易記名稱(chēng)”與“描述”，如此將有助于當(dāng)本地計(jì)算機(jī)證書(shū)很多時(shí)，可以快速辨別證書(shū)用途。點(diǎn)擊“確定”按鈕完成注冊(cè)即可。在成功完成Web服務(wù)器證書(shū)注冊(cè)的結(jié)果頁(yè)面中點(diǎn)擊“完成”。

回到“證書(shū)”管理界面中的“個(gè)人→證書(shū)”節(jié)點(diǎn)頁(yè)面中，便可以看剛才所注冊(cè)的證書(shū)項(xiàng)目，在此您可以連續(xù)點(diǎn)擊兩下來(lái)開(kāi)啟證書(shū)屬性，然后檢視一下其中的主體名稱(chēng)是否正確。