本文為本系列第二篇,主要分為兩部分進行介紹,
一.網絡拓撲
二.證書制作
還是將本系列目錄貼出來,方便導航
實戰:ADFS3.0單點登錄系列-自定義ADFS樣式
實戰:ADFS3.0單點登錄系列-問題匯總
一.網絡拓撲
ADFS既然有AD兩個字母,那么一定是需要域環境的。
完整完成本系列的所有功能,那么需要至少8台服務器,如果只需要其中某項功能,則可根據實際情況減少服務器。8台服務器如下
1.域控制器服務器,提升為域控,並安裝ADCS證書服務,本文第二部分會用到。
2.ADFS服務器(加域),聯合身份認證承載服務器。
3.數據庫服務器(加域),作用不多說。
4.應用程序服務器(加域),用於承載MVC應用程序。
5.SharePoint服務器(加域),用於承載SharePoint應用程序。
6.WAP服務器(加域),Exchange邊緣服務器,用於發布Exchange應用程序,具體功用會在后面專題介紹。
7.Exchange服務器(加域),郵件服務器。
8.客戶機,用於測試。
關於域控制器,ADCS,加域等基礎功能就不多做介紹,直接略過。
二. 證書
出於安全考慮,ADFS必須在https環境下使用,因此就需要證書,推薦在三方權威證書頒發機構購買證書。但是出於企業內部使用的考慮,這里也介紹一下如何申請域證書證書,為了方便,我們將申請通配符證書,即*.contoso.com形式的證書。
整個證書申請過程如下:
1.在ADFS服務器打開mmc,並添加證書模塊
2.個人-證書-所有任務-高級操作-創建自定義請求
3.選擇不使用注冊策略
4.選擇(無模板)舊密碼
5.點開詳細信息-屬性
6.填寫證書屬性
常規tab頁:
填寫好友名稱.
使用者tab:
公用名(CN)需要填寫成*.domain.com的形式.
私鑰tab頁:
加密提供程序選擇“Microsoft RSA SChannel Cryptographic Provider(加密)” .
秘鑰 :秘鑰大小2048
勾選是秘鑰可導出
7.選擇保存位置,完成申請
8.使用IE打開證書服務,地址一般為http(s)://adcsIP/certsrv.點擊申請證書
9.高級證書申請
10.Base64.............
11.使用notepad打開第7步保存的證書申請文件(reg結尾),並復制到證書申請文本框中,證書模板選擇“web服務器”
12.完成證書申請,並下載安裝到“個人”
這樣就完成了一個由ADCS頒發的通配符域證書。該證書會在后續ADFS配置過程中使用到。