實戰：ADFS3.0單點登陸系列-前置準備

本文爲本系列第二篇，主要分爲兩部分進行介紹，

一.網絡拓撲

二.證書製做

 

仍是將本系列目錄貼出來，方便導航

實戰：ADFS3.0單點登陸系列-總覽

實戰：ADFS3.0單點登陸系列-前置準備

實戰：ADFS3.0單點登陸系列-ADFS3.0安裝配置

實戰：ADFS3.0單點登陸系列-集成SharePoint

實戰：ADFS3.0單點登陸系列-集成MVC

實戰：ADFS3.0單點登陸系列-集成Exchange

實戰：ADFS3.0單點登陸系列-自定義ADFS樣式

實戰：ADFS3.0單點登陸系列-問題彙總

 

一.網絡拓撲

ADFS既然有AD兩個字母，那麼必定是須要域環境的。

 

完整完成本系列的全部功能，那麼須要至少8臺服務器，若是隻須要其中某項功能，則可根據實際狀況減小服務器。8臺服務器以下

1.域控制器服務器，提高爲域控，並安裝ADCS證書服務，本文第二部分會用到。

2.ADFS服務器（加域），聯合身份認證承載服務器。

3.數據庫服務器（加域），做用很少說。

4.應用程序服務器（加域），用於承載MVC應用程序。

5.SharePoint服務器（加域），用於承載SharePoint應用程序。

6.WAP服務器（加域），Exchange邊緣服務器，用於發佈Exchange應用程序，具體功用會在後面專題介紹。

7.Exchange服務器（加域），郵件服務器。

8.客戶機，用於測試。

 

關於域控制器，ADCS，加域等基礎功能就很少作介紹，直接略過。

 

二. 證書

出於安全考慮，ADFS必須在https環境下使用，所以就須要證書，推薦在三方權威證書頒發機構購買證書。可是出於企業內部使用的考慮，這裏也介紹一下如何申請域證書證書，爲了方便，咱們將申請通配符證書，即*.contoso.com形式的證書。

整個證書申請過程以下：

1.在ADFS服務器打開mmc，並添加證書模塊

2.我的-證書-全部任務-高級操做-建立自定義請求

 

3.選擇不使用註冊策略

 

4.選擇（無模板）舊密碼

 

5.點開詳細信息-屬性

 

6.填寫證書屬性

常規tab頁：

填寫好友名稱.

使用者tab：

公用名（CN）須要填寫成*.domain.com的形式.

私鑰tab頁：

加密提供程序選擇「Microsoft RSA SChannel Cryptographic Provider(加密)」 .

祕鑰 ：祕鑰大小2048

勾選是祕鑰可導出

 

7.選擇保存位置，完成申請

 

8.使用IE打開證書服務，地址通常爲http(s)://adcsIP/certsrv.點擊申請證書

9.高級證書申請

10.Base64.............

11.使用notepad打開第7步保存的證書申請文件（reg結尾），並複製到證書申請文本框中，證書模板選擇「web服務器」

 

12.完成證書申請，並下載安裝到「我的」

 

這樣就完成了一個由ADCS頒發的通配符域證書。該證書會在後續ADFS配置過程當中使用到。