Windows Server 2008 Active Directory Federation Services 逐步指南 - 步驟 2 : 安裝AD FS角色服務與組態憑證
In this article
步驟2:安裝AD FS角色服務與組態憑證
現在你已經設定好電腦並加入網域中,你已準備好在每台伺服器上安裝Active Directory Federation Services (ADFS) 角色,本區段包含下列程序:
•
安裝聯邦服務。
•
在兩台聯邦伺服器上組態IIS以強制要求SSL協定。
•
安裝ADFS Web代理程式。
•
建立,匯出與匯入憑證。
管理權限
為了執行本步驟的所有程序,請使用網域管理員帳戶登入adfsaccount與adfsresource電腦,使用adfsweb來登入本機管理員帳戶。
安裝聯邦服務
使用下列程序在adfsaccount與adfsresource兩台電腦上安裝ADFS的聯邦服務元件,在聯邦服務安裝後,電腦即變為聯邦伺服器。聯邦服務安裝程式會經過在每台聯邦伺服器中建立新信任原則檔、自我簽署SSL以及符記簽章憑證。.
若要安裝聯邦服務
1.
點選開始 功能表,指向管理工具 ,並點選伺服器管理員 。
2.
以右鍵點選伺服器角色 ,點選新增角色 來啟動新增角色精靈。
3.
於在你開始之前 頁,點選下一步 。
4.
在選擇伺服器角色 頁,點選Active Directory Federation Services ,然後按下一步 兩次。
5.
在選擇角色服務 頁,選擇Federation Service 核取方塊,如果你被指示要安裝額外的Web 伺服器 (IIS) 或是 Windows Process Activation Service 角色服務,點選加入必要的角色服務來安裝它們,然後按下一步 。
6.
在選擇SSL加密伺服器驗證憑證 頁中,點選為SSL加密建立一個自我簽署的憑證,然後按下一步。
7.
在選擇符記簽章憑證 頁中,點選建立一個自我簽署符記簽章憑證,然後按下一步 。
8.
在選擇信任原則 頁中,點選建立新的信任原則, 然後按下一步 兩次。
9.
在選擇角色服務 頁中,點選下一步 來接受預設值。
10.
在確認安裝選項 頁中,檢查資訊並按安裝。
11.
在安裝結果 頁中,檢查每項東西都安裝正確後,按關閉 。
在兩台聯邦伺服器上組態IIS以強制要求SSL協定。
使用下列程序在adfsresource與adfsaccount兩台聯邦伺服器上組態IIS的預設Web網站以強制要求SSL協定。
若要在兩台聯邦伺服器上組態IIS以強制要求SSL協定
1.
點選開始 功能表,指向系統管理工具 ,並點選Internet Information Services (IIS) 管理員 。
2.
在主控台樹中,雙擊ADFSACCOUNT 或ADFSRESOURCE ,雙擊站台,並點選預設Web網站。
3.
在中間的資訊區中,雙擊SSL設定 ,並選取需要SSL 核取方塊。
4.
在用戶端憑證 項目下,點選接受 ,然後按下套用 按鈕。
安裝ADFS Web代理程式
你可以使用下列程序來安裝宣告感知Web代理程式在Web伺服器(adfsweb)上。
若要安裝ADFS Web代理程式
1.
點選開始 功能表,指向系統管理工具 ,然後點選伺服器管理員。
2.
用右鍵點選角色,然後點選新增角色 以啟動新增角色精靈。
3.
於在你開始之前 頁,點選下一步 。
4.
在選擇伺服器角色 頁,點選Active Directory Federation Services ,然後按下一步兩次。
5.
在選擇角色服務頁 中,選取宣告感知(Claims-aware)代理程式,如果你被指示安裝額外的Web伺服器(IIS)或是Windows 處理程序啟動服務角色服務時,點選加入必要的角色服務來安裝它們,然後按下一步。
6.
在 Web 伺服器 (IIS) 頁中,點選下一步 。
7.
在選取角色服務 頁中,自額外選取的核取方塊中,選擇用戶端憑證對應驗證 與IIS管理主控台 核取方塊,然後按下一步 。
用戶端憑證對應驗證 核取方塊會安裝IIS在這台伺服器上所需建立自我簽署之伺服器驗證憑證所需要的元件。
8.
在檢查確認安裝選項 頁中的資訊後,點選安裝 。
9.
在安裝結果 頁中,檢查每項東西都安裝正確後,按關閉 。
建立,匯出與匯入憑證
大多數設定Web伺服器與聯邦伺服器成功的因素是在於建立與匯出必要的合適憑證。因為你先前已使用新增角色精靈在兩台聯邦伺服器中建立伺服器驗證憑證,現在你要做的事是建立adfsweb電腦上的伺服器憑證,本區段包含下列程序:
•
建立adfsweb的伺服器驗證憑證。
•
匯出adfsaccount的符記簽署憑證到檔案。
•
匯出adfsresource伺服器憑證到檔案。
•
匯入adfsresource的伺服器憑證到adfsweb中。
注意 :
在生產環境中,憑證要由憑證中心(CA)核發,為了本指南的測試實驗部署,即使用自我簽署型憑證。
建立adfsweb的伺服器驗證憑證
在Web伺服器(adfsweb)上,使用下列程序來建立自我簽署的伺服器驗證憑證。
若要建立adfsweb的伺服器驗證憑證
1.
點選開始 功能表,指向系統管理工具 ,並點選Internet Information Services (IIS) 管理員 。
2.
在主控台樹中,點選 ADFSWEB .
3.
在中間的資訊區中,雙擊伺服器憑證。 .
4.
在動作區中,點選建立自我簽署憑證 。
5.
在自我簽署憑證 對話盒中,輸入adfsweb,並按確定。
匯出adfsaccount的符記簽署憑證到檔案
在account聯邦伺服器(adfsaccount)中,使用下列程序來匯出adfsaccount的符記簽署憑證到檔案中。
若要匯出adfsaccount的符記簽署憑證到檔案
1.
點選開始 功能表,指向系統管理工具 ,點選Active Directory Federation Services 。
2.
用右鍵點選 Federation Service ,然後點選內容 。
3.
在一般資訊 頁籤中,點選檢視 。
4.
在詳細資料 頁籤中,點選複製到檔案 。
5.
在歡迎使用憑證匯出精靈 頁中,按下一步 。
6.
在匯出私密金鑰 頁中,點選不,不要匯出私密金鑰 ,然後點選下一步 。
7.
在匯出檔案格式 頁中,點選DER encoded binary X.509 (.CER) ,然後點選下一步 。
8.
在匯出檔案 頁中,輸入 C:\adfsaccount_ts.cer , ,然後點選下一步 。
9.
在完成憑證匯出精靈 中,按完成 。
匯出adfsresource伺服器憑證到檔案
為了要在資源聯邦伺服器(adfsresource)與Web伺服器(adfsweb)中成功的通訊,Web伺服器首先必須要信任資源聯邦伺服器的根憑證(root of the resource federation server)。
因為在本指南所描述的情境中使用自我簽署憑證,伺服器驗證憑證是屬於根熊證,所以,你必須要利用匯出資源聯邦伺服器(adfsresource)驗證憑證到檔案並且匯入此檔案到Web伺服器(adfsweb)的方式建立信任。為了要匯出adfsresource伺服器憑證到檔案,請在adfsresource電腦中執行下列程序。
若要匯出adfsresource伺服器憑證到檔案
1.
點選開始 功能表,指向系統管理工具 ,並點選Internet Information Services (IIS) 管理員 。
2.
在主控台樹中,點選ADFSRESOURCE .
3.
在中間的資訊區中,雙擊伺服器憑證。
4.
在中間的資訊區中,用右鍵點選 adfsresource.treyresearch.net ,然後點選匯出 。
5.
在匯出憑證 對話盒中,點選 … 按鈕。
6.
在檔名中,輸入 C:\adfsresource ,然後按開啟 。
注意 :
此憑證將在下一個程序被匯入到adfsweb中,所以請讓這個檔案可以透過網路存取。
7.
輸入憑證的密碼,並確認它後按確定 。
匯入adfsresource的伺服器憑證到adfsweb中
在Web伺服器(adfsweb)上執行下列程序:
若要匯入adfsresource的伺服器憑證到adfsweb中
1.
點選開始 功能表,點選執行 ,輸入mmc 後按確定 。
2.
點選檔案 功能表,然後點選新增/移除嵌入式管理單元 。
3.
選擇憑證 ,按新增 ,點選電腦帳戶 ,並且按下一步 。
4.
點選本機電腦(執行這個主控台的電腦) ,點選完成 ,再點選確認 。
5.
在主控台樹中,雙擊憑證(本機電腦) 的圖示,雙擊受信任的根憑證授權 資料夾,用右鍵點選憑證 ,指向所有工作 ,然後點選匯入 。
6.
在歡迎使用憑證匯入精靈 頁中,點選下一步 。
7.
在匯入檔案 頁中,輸入 \\adfsresource\c$\adfsresource.pfx ,然後點選下一步 。
注意 :
你可能會對應網路磁碟機以取得adfsresource.pfx檔案,你也可以由adfsresource電腦直接複製adfsresource.pfx檔案到adfsweb電腦上,並且指示精靈到該位置。
8.
在密碼 頁中,輸入adfsresource.pfx的密碼,然後按下一步 。
9.
在憑證儲存 頁中,點選放置所有憑證到下列儲存位置 ,然後按下一步 。
10.
在完成憑證匯入精靈 頁中,檢查你提供的資訊是正確無誤的,然後按完成 。