在混合证书信任模型中配置 Active Directory 联合身份验证服务
本文介绍适用于以下应用的 Windows Hello 企业版功能或方案:
-
部署类型:
-
信任类型:证书
-
联接类型:,Microsoft Entra join , Microsoft Entra 混合联接
基于 Windows Hello 企业版证书的部署使用 AD FS 作为证书注册机构, (CRA) 。
CRA 负责向用户颁发和吊销证书。 注册机构验证证书请求,使用注册代理证书为证书请求签名,然后将其发送到证书颁发机构。
CRA 注册 注册代理证书,Windows Hello 企业 版身份验证证书模板 配置为仅向使用注册代理证书签名的请求颁发证书。
注意
为了使 AD FS 验证 Windows Hello 企业版的用户证书请求,它需要能够访问 https://enterpriseregistration.windows.net 终结点。
配置证书注册机构
使用 域管理员 等效凭据登录 AD FS 服务器。
打开 Windows PowerShell 提示符并键入以下命令:
Set-AdfsCertificateAuthority -EnrollmentAgent -EnrollmentAgentCertificateTemplate WHFBEnrollmentAgent -WindowsHelloCertificateTemplate WHFBAuthentication -WindowsHelloCertificateProxyEnabled $true
注意
如果为 Windows Hello 企业版注册代理和 Windows Hello 企业版身份验证证书模板指定了不同的名称,请将上述命令中的 WHFBEnrollmentAgent 和 WHFBAuthentication 替换为证书模板的名称。 请务必注意,这里使用的是模板名称,不是模板显示名称。 可以使用证书模板管理控制台 (certtmpl.msc) ,在证书模板的“ 常规 ”选项卡上查看 模板 名称。 或者,可以使用 CA 上的 PowerShell cmdlet 查看模板名称 Get-CATemplate 。
注册代理证书注册
AD FS 执行自己的证书生命周期管理。 一旦注册机构配置了正确的证书模板,AD FS 服务器将尝试在第一个证书请求或服务首次启动时注册证书。
大约在注册代理证书过期前 60 天,AD FS 服务会尝试续订证书,直到证书成功。 如果证书无法续订,并且证书过期,AD FS 服务器会请求新的注册代理证书。 你可以查看 AD FS 事件日志,以确定注册代理证书的状态。
AD FS 服务帐户的组成员身份
AD FS 服务帐户必须是身份验证证书模板自动注册 (目标安全组的成员,例如 Window Hello 企业用户) 。 安全组为 AD FS 服务提供代表预配用户注册 Windows Hello 企业版身份验证证书所需的权限。
提示
adfssvc 帐户是 AD FS 服务帐户。
使用域管理员等效凭据登录域控制器或管理工作站。
- 打开 Active Directory 用户和计算机
- 搜索身份验证证书模板自动注册 (目标安全组,例如 Window Hello 企业用户)
- 选择“ 成员 ”选项卡,然后选择“ 添加”
- 在“输入要选择的对象名称”文本框中,键入 adfssvc 或替换 AD FS 部署>确定中 AD FS 服务帐户的名称
- 选择 “确定” 以返回到 Active Directory 用户和计算机
- 重启 AD FS 服务器
注意
对于证书信任模型中的 AD FS 2019 及更高版本,存在已知的 PRT 问题。 在 AD FS 管理员事件日志中可能会遇到此错误:收到的 Oauth 请求无效。 禁止客户端“NAME”访问范围为“ugs”的资源。 有关 isse 及其解析的详细信息,请参阅 Windows Server 2019 上损坏 AD FS 的证书信任预配。
节评审和后续步骤
在转到下一部分之前,请确保完成以下步骤:
- 配置证书注册机构
- 更新 AD FS 服务帐户的组成员身份