Dela via

Alternativ värdnamnsbindning för certifikatautentisering i AD FS på Windows Server

I många nätverk kanske de lokala brandväggsprinciperna inte tillåter trafik via icke-standardportar som 49443. Icke-standardportar kan skapa problem vid certifikatautentisering med AD FS på Windows Server för tidigare versioner av Windows. Det går inte att använda olika bindningar för enhetsautentisering och användarcertifikatautentisering på samma värd.

För Windows-versioner som är tidigare än Windows Server 2016 måste standardport 443 ta emot enhetscertifikat. Det går inte att ändra den här porten för att stödja flera bindningar i samma kanal. Smartkortautentisering fungerar inte och det finns inget meddelande till användare som förklarar orsaken.

AD FS i Windows Server stöder alternativ bindning av värdnamn

AD FS i Windows Server har stöd för alternativ värdnamnsbindning med hjälp av två lägen:

  • I det första läget används samma värd (adfs.contoso.com) med olika portar (443, 49443).

  • I det andra läget används olika värdar (adfs.contoso.com och certauth.adfs.contoso.com) med samma port (443). För det här läget krävs ett TLS/SSL-certifikat som stöd certauth.\<adfs-service-name> för ett alternativt ämnesnamn. En alternativ värdnamnsbindning kan konfigureras när servergruppen skapas eller senare med hjälp av PowerShell.

Så här konfigurerar du en alternativ värdnamnsbindning för certifikatautentisering

Det finns två sätt att lägga till den alternativa värdnamnsbindningen för certifikatautentisering:

  • Den första metoden är när du konfigurerar en ny AD FS-servergrupp med AD FS för Windows Server 2016. Om certifikatet innehåller ett alternativt ämnesnamn (SAN) konfigureras certifikatet automatiskt för att använda det andra läget som beskrevs tidigare. Två olika värdar (sts.contoso.com och certauth.sts.contoso.com) konfigureras automatiskt med samma port.

    Om certifikatet inte innehåller ett SAN anger ett varningsmeddelande att certifikatmottagarens alternativa namn inte stöder certauth.*:

    The SSL certificate subject alternative names do not support host name 'certauth.adfs.contoso.com'. Configuring certificate authentication binding on port '49443' and hostname 'adfs.contoso.com'.

The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.

    För en installation där certifikatet innehåller ett SAN visas bara den andra delen av meddelandet:

    The SSL certificate does not contain all UPN suffix values that exist in the enterprise. Users with UPN suffix values not represented in the certificate will not be able to Workplace-Join their devices. For more information, see http://go.microsoft.com/fwlink/?LinkId=311954.

  • Den andra metoden är tillgänglig när du har distribuerat AD FS på Windows Server. Du kan använda PowerShell-cmdleten Set-AdfsAlternateTlsClientBinding för att lägga till den alternativa värdnamnsbindningen för certifikatautentisering. Mer information finns i Set-AdfsAlternateTlsClientBinding.

    Set-AdfsAlternateTlsClientBinding -Member ADFS1.contoso.com -Thumbprint '<thumbprint of cert>'

I kommandotolken för att bekräfta certifikatkonfigurationen väljer du Ja eller Ja till alla.