点击此处--->   群内免费提供SAP练习系统（在群公告中）

加入QQ群：457200227（SAP S4 HANA技术交流） 群内免费提供SAP练习系统（在群公告中）

专家们，

我已经开始熟悉SSO 3.0的一些新功能，并决定尝试使用远程CA配置。 在我的演示环境中，我获得了一个2008 R2域控制器，其林和域功能级别设置为2008 R2。 此外，在另一台2012 R2服务器上，我还运行带有证书注册Web和策略服务（CES＆CEP）的企业根CA（ADCS）。 CA运行正常并且基于证书模板，我能够基于RPC/DCOM接口为域用户注册证书。

现在，在通过JAAS模块将证书请求转发到公司CA的用户进行身份验证之后，现在我想将现有的CA用于安全登录服务器，以允许SLS充当CA的RA。 我可以从《 3.0版安全登录实施指南》中获得的信息是非常基本的，不幸的是，没有关于如何设置ADCS，模板以及要使用的URI的信息……我很想获得更多信息。 有关的信息。

但是让我们看看到目前为止我做了什么：

• 除了我的CA角色外，我还安装了CES和CEP这两个角色服务
• 是否设置了MSFT建议的配置（好，在我的环境中，CA以及CEP和CES服务都在同一主机上运行，​​这对我来说很容易，不需要委派，但是建议不要这样做，以提高生产效率 使用）
• 对于身份验证，我决定从基于用户名和密码的身份验证开始，这使事情变得更加容易。
• +了解CEP/CES背后的概念

首先，CEP和CES Services似乎运行良好，因为我能够通过MMC证书管理单元并通过添加CEP URI并验证用户身份来从未加入域的计算机上注册证书。 这意味着计算机仅基于Web服务通信使用HTTPS通信，而不使用以前的RPC/DCOM类型的通信。 在幕后，现在CEP将向AD进行LDAP查询，以确定CA和策略信息，并在收到信息后将信息提供回Web服务客户端。 根据收到的策略/模板信息，计算机将知道可用于注册的证书模板，并通过再次通过HTTPS生成并发送证书请求（现在发送到CES URI）来基于所选模板请求证书。 CES现在接收请求，模拟用户的安全上下文，并通过旧派（ICertRequest）RPC/DCOM将呼叫委托给CA，以将请求提交给CA。 CA将证书发回给CES，后者又将证书提供给计算机。

• 将证书注册到未加入域的计算机

步骤：

添加CEP URI：

从IIS应用（CEP）中检索友好名称：

接收允许用于我的用户帐户的模板，然后选择默认的用户模板：

使用AD凭据对用户进行身份验证：

如果我查看详细信息：

这有效，我通过CES Web服务收到了我的证书：

但这就是所有Microsoft标准????现在的任务是用SLS替换我的计算机。 但是，我无法从手册中找到更多详细信息，例如。 G。 如果SLS要解决CEP或CES URI，那么我尝试了两者。

我的Secure Login Server 3.0能够通过HTTPS无需任何代理即可访问CES/CEP URI。 SSL证书（IIS）的颁发者在AS Java TrustedCAs存储中受信任。

步骤：

在NWA中为远程CA创建HTTP目标：

输入了CEP服务的URI-并且由于此方法不起作用，因此也尝试使用CES URI-两者的结果相同。 还指定SSL存储以用于CES Web服务SSL证书的CA链验证：

指定了基本身份验证和用户名+密码（也尝试使用DOMAIN \ ）

ping不通（收到HTTP 400消息）

问题：我在此阶段还没有考虑什么？

我对PING的结果不是很感兴趣，因此我转到了SLAC，并通过指定条目名称，适配器类型" ADCS-WebEnroll"和SLS自动找出的HTTP目标添加了Remote-CA。

知道我将无法成功的事实，我按下了"测试"按钮（无论如何），并收到了异常/HTTP 415错误消息。

那是到目前为止的当前状态。 希望有人（Stephan）????可以在这里帮助我吗？

是否有关于从SAP进行ADCS设置的建议，以便将SLS用于Remote-CA？ CA模板和SLS之间有什么相互关系，支持哪些类型的模板，有什么限制？ 在此阶段（SP0）在SLS 3.0中使用Remote-CA功能时的已知限制？ 如果您有实施指南或烹饪书之类的东西，使用Remote-CA配置ADC以使用ADCS CES/CEP，这确实会有所帮助。

干杯

Carsten