Active Directory.pdf - Gattner

Implementieren der AD FS 749
Direkt von der Quelle: Problembehandlung bei Zertifikatssperrungen
Zertifikatsprobleme gehören zu den fünf Themen, mit denen das Microsoft-Supportteam bei der
AD FS-Problembehebung am häufigsten konfrontiert wird. Ein Zertifikatsproblem in Zusammenhang
mit AD FS betrifft einen gängigen Routinevorgang, bei dem die Gültigkeit eines Zertifikats
überprüft wird, indem dieses mit einer von der Zertifizierungsstelle ausgegebenen Liste mit
gesperrten Zertifikaten verglichen wird. Dieser Vorgang wird in der Public Key-Infrastruktur auch
als CRL-Überprüfung bezeichnet.
Die für einen Kontopartner auf einem Verbundserver konfigurierte Einstellung für die Sperrüberprüfung
wird vom Verbundserver verwendet, um festzustellen, wie die Sperrüberprüfung für von
diesem Kontopartner gesendete Token durchgeführt wird. Die Verbundservereinstellung für die
Sperrüberprüfung wird über den Knoten Vertrauensrichtlinie des AD FS-Snap-Ins konfiguriert.
Anhand dieser Einstellung stellt der Verbundserver und der an diesen gebundene AD FS-Web-
Agent fest, wie die Sperrüberprüfung für das Tokensignaturzertifikat des Verbundservers durchgeführt
wird. Bei der Überprüfung werden entweder die importierten CRLs auf dem lokalen Computer
oder die über den Sperrlistenverteilungspunkt bereitgestellten CRLs verwendet.
Bei der Behandlung von Zertifikatsproblemen sollten Sie die Möglichkeit haben, die Sperrüberprüfung
schnell zu deaktivieren, damit die Problemquelle einfacher lokalisiert werden kann. Dies ist
beispielsweise in Bereitstellungsszenarien sinnvoll, in denen für die Tokensignaturzertifikate keine
CRLs verfügbar sind.
Das AD FS-Produktteam bietet zur Lösung von Problemen mit der CRL-Überprüfung im AD FS-
Snap-In in Windows Server 2008 eine Funktion, über die das Verhalten der Sperrüberprüfung im
Rahmen des Verbunddienstes angepasst bzw. über die die Sperrprüfung deaktiviert werden kann.
Die Sperrprüfung lässt sich zum Beispiel so konfigurieren, dass die Gültigkeit aller Zertifikate in
einer Zertifikatskette oder nur das Endzertifikat in der Zertifikatskette überprüft wird.
Nick Pierson
Senior Technical Writer, Microsoft
Von Verbundserverproxys verwendete Zertifikate Für eine sichere Kommunikation zwischen Verbundservern
und Webclients verwendet der Verbundserverproxy die folgenden SSL-Zertifikate:
• SSL-Clientauthentifizierungszertifikate Jeder Verbundserverproxy verwendet zur Authentifizierung
des Verbunddienstes ein SSL-Clientauthentifizierungszertifikat. Eine Kopie des Clientauthentifizierungszertifikats
vom Verbundserverproxy wird sowohl auf dem Verbundserverproxy als auch
in der Vertrauensrichtlinie des Verbundservers gespeichert. Der private Schlüssel, der dem
Clientauthentifizierungszertifikat des Verbundserverproxys zugewiesen ist, wird hingegen ausschließlich
auf dem Verbundserverproxy gespeichert.
• SSL-Serverauthentifizierungszertifikate Für einen sicheren Datenverkehr zwischen Webdiensten und
Webclients verwendet der Verbundserverproxy SSL-Serverauthentifizierungszertifikate.
Vom AD FS-Web-Agent verwendete Zertifikate Für eine sichere Kommunikation mit Webclients verwendet
jeder Webserver, der als Host für den AD FS-Web-Agent fungiert, SSL-Serverauthentifizierungszertifikate.
Diese Zertifikate werden über das Snap-In Internetinformationsdienste angefordert und
installiert oder können über Gruppenrichtlinien oder eine automatische Registrierung installiert werden,
wenn die AD CS bereitgestellt wurden.