2024. március 1., péntek

Gyorskeresés

Más tanúsítvány kényszerítése ADFS publikálásánál MS WAP esetén

Írta: | Kulcsszavak: wap . adfs . windows server . ssl

[ ÚJ BEJEGYZÉS ]

Vegyük a következő helyzetet: van egy ADFS szerverünk, és egy WAP szerverünk. Az ADFS által használt tanúsítványunkat az Enterprise CA-nk írta alá, azonban azt nem ezzel a tanúsítvánnyal szeretnénk publikálni a külvilág felé, hanem egy másik, közismert CA által aláírttal.

A probléma: nem használhatunk az ADFS-hez egy közismert CA által aláírt tanúsítványt valamilyen ok miatt (nálam pl. azért mert a cert. három havonta lejár, és nagyon nyűgös lenne három havonta kirántani az ADFS alól a korábbi tanúsítványt, majd újat rakni helyette), azonban az sem megoldás, hogy az Enterprise CA által aláírt tanúsítványt használunk a publikáláshoz.

Kézenfekvő lenne megmondani a WAP-nak, hogy egyéb tanúsítvánnyal publikálja az ADFS-t, ezt azonban nem fogja megtenni (legalábbis a WS 2019 WAP szolgáltatása nem teszi meg), és induláskor "The parameter is incorrect." üzenetet fog logolni.

A megoldás: telepítsük a Cert:\LocalMachine\My útvonalra a használni kívánt tanúsítványt. Indítsunk egy privilegizált parancssort/PS-t, és adjuk ki az alábbi parancsot:

netsh http update sslcert hostnameport=$HOSTNAMEPORT$ appid=$APPID$ certhash=$CERTHASH$ certstorename=my

ahol:
- $HOSTNAMEPORT$: Az érintett binding hosztneve és portszáma (lekérdezhető: netsh http show sslcert)
- $APPID$: Az érintett bindinghoz tartozó alkalmazás GUID-ja (lekérdezhető: netsh http show sslcert)
- $CERTHASH$: A használni kívánt tanúsítvány ujjlenyomata (40 karakter hosszan, szóközök nélkül)

Megjegyzés: A WAP szervizeinek esetleges újraindításakor ellenőrizzük vissza, hogy a módosításunk megmaradt (nekem megszokott). Ha a WAP esetleg újratelepítésre kerülne, hiába marad meg a konfig. az újratelepítés után, ez a módosítás el fog veszni.

Copyright © 2000-2024 PROHARDVER Informatikai Kft.