将SLS连接到远程CA(CES/CEP)

2020-08-15 16:59发布

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


专家们,

我已经开始熟悉SSO 3.0的一些新功能,并决定尝试使用远程CA配置。 在我的演示环境中,我获得了一个2008 R2域控制器,其林和域功能级别设置为2008 R2。 此外,在另一台2012 R2服务器上,我还运行带有证书注册Web和策略服务(CES&CEP)的企业根CA(ADCS)。 CA运行正常并且基于证书模板,我能够基于RPC/DCOM接口为域用户注册证书。


现在,在通过JAAS模块将证书请求转发到公司CA的用户进行身份验证之后,现在我想将现有的CA用于安全登录服务器,以允许SLS充当CA的RA。 我可以从《 3.0版安全登录实施指南》中获得的信息是非常基本的,不幸的是,没有关于如何设置ADCS,模板以及要使用的URI的信息……我很想获得更多信息。 有关的信息。


但是让我们看看到目前为止我做了什么:

  • 除了我的CA角色外,我还安装了CES和CEP这两个角色服务
  • 是否设置了MSFT建议的配置(好,在我的环境中,CA以及CEP和CES服务都在同一主机上运行,​​这对我来说很容易,不需要委派,但是建议不要这样做,以提高生产效率 使用)
  • 对于身份验证,我决定从基于用户名和密码的身份验证开始,这使事情变得更加容易。
  • +了解CEP/CES背后的概念


首先,CEP和CES Services似乎运行良好,因为我能够通过MMC证书管理单元并通过添加CEP URI并验证用户身份来从未加入域的计算机上注册证书。 这意味着计算机仅基于Web服务通信使用HTTPS通信,而不使用以前的RPC/DCOM类型的通信。 在幕后,现在CEP将向AD进行LDAP查询,以确定CA和策略信息,并在收到信息后将信息提供回Web服务客户端。 根据收到的策略/模板信息,计算机将知道可用于注册的证书模板,并通过再次通过HTTPS生成并发送证书请求(现在发送到CES URI)来基于所选模板请求证书。 CES现在接收请求,模拟用户的安全上下文,并通过旧派(ICertRequest)RPC/DCOM将呼叫委托给CA,以将请求提交给CA。 CA将证书发回给CES,后者又将证书提供给计算机。


  • 将证书注册到未加入域的计算机

步骤:


添加CEP URI:

从IIS应用(CEP)中检索友好名称:

接收允许用于我的用户帐户的模板,然后选择默认的用户模板:

使用AD凭据对用户进行身份验证:

如果我查看详细信息:

这有效,我通过CES Web服务收到了我的证书:

但这就是所有Microsoft标准????现在的任务是用SLS替换我的计算机。 但是,我无法从手册中找到更多详细信息,例如。 G。 如果SLS要解决CEP或CES URI,那么我尝试了两者。


我的Secure Login Server 3.0能够通过HTTPS无需任何代理即可访问CES/CEP URI。 SSL证书(IIS)的颁发者在AS Java TrustedCAs存储中受信任。


步骤:

在NWA中为远程CA创建HTTP目标:

输入了CEP服务的URI-并且由于此方法不起作用,因此也尝试使用CES URI-两者的结果相同。 还指定SSL存储以用于CES Web服务SSL证书的CA链验证:

指定了基本身份验证和用户名+密码(也尝试使用DOMAIN \

ping不通(收到HTTP 400消息)

问题:我在此阶段还没有考虑什么?


我对PING的结果不是很感兴趣,因此我转到了SLAC,并通过指定条目名称,适配器类型" ADCS-WebEnroll"和SLS自动找出的HTTP目标添加了Remote-CA。

知道我将无法成功的事实,我按下了"测试"按钮(无论如何),并收到了异常/HTTP 415错误消息。

那是到目前为止的当前状态。 希望有人(Stephan)????可以在这里帮助我吗?


是否有关于从SAP进行ADCS设置的建议,以便将SLS用于Remote-CA? CA模板和SLS之间有什么相互关系,支持哪些类型的模板,有什么限制? 在此阶段(SP0)在SLS 3.0中使用Remote-CA功能时的已知限制? 如果您有实施指南或烹饪书之类的东西,使用Remote-CA配置ADC以使用ADCS CES/CEP,这确实会有所帮助。


干杯

Carsten


(38.4 kB)

         点击此处--->   EasySAP.com群内免费提供SAP练习系统(在群公告中)

加入QQ群:457200227(SAP S4 HANA技术交流) 群内免费提供SAP练习系统(在群公告中)


专家们,

我已经开始熟悉SSO 3.0的一些新功能,并决定尝试使用远程CA配置。 在我的演示环境中,我获得了一个2008 R2域控制器,其林和域功能级别设置为2008 R2。 此外,在另一台2012 R2服务器上,我还运行带有证书注册Web和策略服务(CES&CEP)的企业根CA(ADCS)。 CA运行正常并且基于证书模板,我能够基于RPC/DCOM接口为域用户注册证书。


现在,在通过JAAS模块将证书请求转发到公司CA的用户进行身份验证之后,现在我想将现有的CA用于安全登录服务器,以允许SLS充当CA的RA。 我可以从《 3.0版安全登录实施指南》中获得的信息是非常基本的,不幸的是,没有关于如何设置ADCS,模板以及要使用的URI的信息……我很想获得更多信息。 有关的信息。


但是让我们看看到目前为止我做了什么:

  • 除了我的CA角色外,我还安装了CES和CEP这两个角色服务
  • 是否设置了MSFT建议的配置(好,在我的环境中,CA以及CEP和CES服务都在同一主机上运行,​​这对我来说很容易,不需要委派,但是建议不要这样做,以提高生产效率 使用)
  • 对于身份验证,我决定从基于用户名和密码的身份验证开始,这使事情变得更加容易。
  • +了解CEP/CES背后的概念


首先,CEP和CES Services似乎运行良好,因为我能够通过MMC证书管理单元并通过添加CEP URI并验证用户身份来从未加入域的计算机上注册证书。 这意味着计算机仅基于Web服务通信使用HTTPS通信,而不使用以前的RPC/DCOM类型的通信。 在幕后,现在CEP将向AD进行LDAP查询,以确定CA和策略信息,并在收到信息后将信息提供回Web服务客户端。 根据收到的策略/模板信息,计算机将知道可用于注册的证书模板,并通过再次通过HTTPS生成并发送证书请求(现在发送到CES URI)来基于所选模板请求证书。 CES现在接收请求,模拟用户的安全上下文,并通过旧派(ICertRequest)RPC/DCOM将呼叫委托给CA,以将请求提交给CA。 CA将证书发回给CES,后者又将证书提供给计算机。


  • 将证书注册到未加入域的计算机

步骤:


添加CEP URI:

从IIS应用(CEP)中检索友好名称:

接收允许用于我的用户帐户的模板,然后选择默认的用户模板:

使用AD凭据对用户进行身份验证:

如果我查看详细信息:

这有效,我通过CES Web服务收到了我的证书:

但这就是所有Microsoft标准????现在的任务是用SLS替换我的计算机。 但是,我无法从手册中找到更多详细信息,例如。 G。 如果SLS要解决CEP或CES URI,那么我尝试了两者。


我的Secure Login Server 3.0能够通过HTTPS无需任何代理即可访问CES/CEP URI。 SSL证书(IIS)的颁发者在AS Java TrustedCAs存储中受信任。


步骤:

在NWA中为远程CA创建HTTP目标:

输入了CEP服务的URI-并且由于此方法不起作用,因此也尝试使用CES URI-两者的结果相同。 还指定SSL存储以用于CES Web服务SSL证书的CA链验证:

指定了基本身份验证和用户名+密码(也尝试使用DOMAIN \

ping不通(收到HTTP 400消息)

问题:我在此阶段还没有考虑什么?


我对PING的结果不是很感兴趣,因此我转到了SLAC,并通过指定条目名称,适配器类型" ADCS-WebEnroll"和SLS自动找出的HTTP目标添加了Remote-CA。

知道我将无法成功的事实,我按下了"测试"按钮(无论如何),并收到了异常/HTTP 415错误消息。

那是到目前为止的当前状态。 希望有人(Stephan)????可以在这里帮助我吗?


是否有关于从SAP进行ADCS设置的建议,以便将SLS用于Remote-CA? CA模板和SLS之间有什么相互关系,支持哪些类型的模板,有什么限制? 在此阶段(SP0)在SLS 3.0中使用Remote-CA功能时的已知限制? 如果您有实施指南或烹饪书之类的东西,使用Remote-CA配置ADC以使用ADCS CES/CEP,这确实会有所帮助。


干杯

Carsten


(38.4 kB)
付费偷看设置
发送
4条回答
超级大咸鱼
1楼 · 2020-08-15 17:40.采纳回答

卡斯滕,

SLS 3.0 SP00仅支持"简单CMC"和" ADCS WebEnroll"(ADCS角色"证书颁发机构Web注册")。

对于ADCS WebEnroll,我们对一个名为ADCS的证书模板" SecureLoginServerUser"有一个限制。 您无法更改此模板名称,这里只能是一个。

我们计划在SP01中扩展远程CA适配器:

-支持所有SLS证书模板的ADCS WebEnroll适配器,

-和一个用于ADCS NDES的新适配器,最多支持三个证书模板。

暂时,可以使ADCS WebEnroll运行如下:

  1. 设置ADCS以支持Web注册。 使用Internet Explorer进行测试,例如 https://sapsso-ads-dev.mo.sap。 corp/certsrv 。 以域用户身份登录。
  2. 创建一个新的AD用户,例如DOMAIN \ SLSRA。 注意正确的安全设置。
  3. 创建一个名为" SecureLoginServerUser"的ADCS证书模板。
  4. 在此模板中,为DOMAIN \ SLSRA(并且没有其他域用户)打开"安全>自动注册"
  5. 还打开"主题名称>请求中的提供"。
  6. 检查"密码学>最小密钥大小"是否适合您的SLS配置文件。
  7. 返回NWA,使用DOMAIN \ SLSRA作为基本身份验证用户来配置HTTPS目标。
  8. [或者,为DOMAIN \ SLSRA创建一个PFX密钥文件,将其导入NWA证书视图,然后在NWA目标以及IIS中打开HTTPS X.509客户端身份验证。 在基本身份验证成功运行之前,请勿执行此操作,否则事情会变得复杂。]
  9. Ping现在应该可以工作了。 如果没有,请检查您的IIS端口和站点配置。
  10. 返回SLS,使用新的HTTPS目标创建一个新的"远程CA"。
  11. "测试远程CA"现在应该可以使用。

-Stephan

小熊yu生菜
2楼-- · 2020-08-15 17:51

确定-对于SP0,Web Enroll适配器需要 https://sapsso-ads-dev.mo.sap.corp 。 再次抱歉。

一只江湖小虾
3楼-- · 2020-08-15 17:40

有人吗?

暮风yp
4楼-- · 2020-08-15 17:49

亲爱的卡斯顿,

能为您解决以下问题吗?

我也在尝试将SLS 3.0与外部PKI结构集成在一起。 我创建了必需的HTTPS目标,但是ping目标测试以某种方式失败,并显示以下错误消息" ping操作期间出错:静默连接时出错:org.w3c.www.protocol.http.HttpException:连接重置"。
P/S-我可以使用经过身份验证的域用户访问PKI Web服务URL,也可以在HTTPS目标中使用同一用户。

请告知。

预先感谢!

一周热门 更多>