点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)专家们, 我已经开始熟悉SS...
点击此处---> 群内免费提供SAP练习系统(在群公告中)加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)专家们, 我已经开始熟悉SS...
加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)
专家们,
我已经开始熟悉SSO 3.0的一些新功能,并决定尝试使用远程CA配置。 在我的演示环境中,我获得了一个2008 R2域控制器,其林和域功能级别设置为2008 R2。 此外,在另一台2012 R2服务器上,我还运行带有证书注册Web和策略服务(CES&CEP)的企业根CA(ADCS)。 CA运行正常并且基于证书模板,我能够基于RPC/DCOM接口为域用户注册证书。
现在,在通过JAAS模块将证书请求转发到公司CA的用户进行身份验证之后,现在我想将现有的CA用于安全登录服务器,以允许SLS充当CA的RA。 我可以从《 3.0版安全登录实施指南》中获得的信息是非常基本的,不幸的是,没有关于如何设置ADCS,模板以及要使用的URI的信息……我很想获得更多信息。 有关的信息。
但是让我们看看到目前为止我做了什么:
首先,CEP和CES Services似乎运行良好,因为我能够通过MMC证书管理单元并通过添加CEP URI并验证用户身份来从未加入域的计算机上注册证书。 这意味着计算机仅基于Web服务通信使用HTTPS通信,而不使用以前的RPC/DCOM类型的通信。 在幕后,现在CEP将向AD进行LDAP查询,以确定CA和策略信息,并在收到信息后将信息提供回Web服务客户端。 根据收到的策略/模板信息,计算机将知道可用于注册的证书模板,并通过再次通过HTTPS生成并发送证书请求(现在发送到CES URI)来基于所选模板请求证书。 CES现在接收请求,模拟用户的安全上下文,并通过旧派(ICertRequest)RPC/DCOM将呼叫委托给CA,以将请求提交给CA。 CA将证书发回给CES,后者又将证书提供给计算机。
步骤:
添加CEP URI:
从IIS应用(CEP)中检索友好名称:
接收允许用于我的用户帐户的模板,然后选择默认的用户模板:
使用AD凭据对用户进行身份验证:
如果我查看详细信息:
这有效,我通过CES Web服务收到了我的证书:
但这就是所有Microsoft标准????现在的任务是用SLS替换我的计算机。 但是,我无法从手册中找到更多详细信息,例如。 G。 如果SLS要解决CEP或CES URI,那么我尝试了两者。
我的Secure Login Server 3.0能够通过HTTPS无需任何代理即可访问CES/CEP URI。 SSL证书(IIS)的颁发者在AS Java TrustedCAs存储中受信任。
步骤:
在NWA中为远程CA创建HTTP目标:
输入了CEP服务的URI-并且由于此方法不起作用,因此也尝试使用CES URI-两者的结果相同。 还指定SSL存储以用于CES Web服务SSL证书的CA链验证:
指定了基本身份验证和用户名+密码(也尝试使用DOMAIN \
ping不通(收到HTTP 400消息)
问题:我在此阶段还没有考虑什么?
我对PING的结果不是很感兴趣,因此我转到了SLAC,并通过指定条目名称,适配器类型" ADCS-WebEnroll"和SLS自动找出的HTTP目标添加了Remote-CA。
知道我将无法成功的事实,我按下了"测试"按钮(无论如何),并收到了异常/HTTP 415错误消息。
那是到目前为止的当前状态。 希望有人(Stephan)????可以在这里帮助我吗?
是否有关于从SAP进行ADCS设置的建议,以便将SLS用于Remote-CA? CA模板和SLS之间有什么相互关系,支持哪些类型的模板,有什么限制? 在此阶段(SP0)在SLS 3.0中使用Remote-CA功能时的已知限制? 如果您有实施指南或烹饪书之类的东西,使用Remote-CA配置ADC以使用ADCS CES/CEP,这确实会有所帮助。
干杯
Carsten
(38.4 kB)
卡斯滕,
SLS 3.0 SP00仅支持"简单CMC"和" ADCS WebEnroll"(ADCS角色"证书颁发机构Web注册")。
对于ADCS WebEnroll,我们对一个名为ADCS的证书模板" SecureLoginServerUser"有一个限制。 您无法更改此模板名称,这里只能是一个。
我们计划在SP01中扩展远程CA适配器:
-支持所有SLS证书模板的ADCS WebEnroll适配器,
-和一个用于ADCS NDES的新适配器,最多支持三个证书模板。
暂时,可以使ADCS WebEnroll运行如下:
-Stephan
一周热门 更多>