Table of contents
TOC
目次を折りたたむ
目次を展開する

ユーザー証明書の認証のためのAD FSの構成

Jen Field|最終更新日: 2017/04/14
|
1 投稿者

適用対象: Windows Server 2016、Windows Server 2012 R2

ユーザー証明書の認証モードのいずれかの方法が記載x509用に構成できるAD FSこの資料します。 この機能を使用できるをAzure Active Directoryまたはを独自に、クライアントとデバイスを有効にするプロビジョニングAD FSのアクセスにユーザーの証明書を使ってイントラネットまたはエクストラネットからリソースです。

前提条件

  • ユーザー証明書がすべてのAD FSおよびWAPサーバーによって信頼されていることを確認します。
  • Active DirectoryでNTAuthストア内のユーザー証明書に信頼チェーンのルート証明書があることを確認します。
  • 代替の証明書の認証モードでは、AD FSを使用して場合、AD FSし、WAPのサーバーのSSLと証明書"certauth"付きますAD FSのホスト名を含むたとえば"certauth.fs.contoso.com"、ファイアウォールを介したこのホスト名へのトラフィックが許可されるを確認します。
  • エクストラネットから証明書認証を使用する場合は、少なくとも1つのAIAと、証明書で指定された一覧から1つ以上のCDPまたはOCSPの場所は、インターネットからアクセスできることを確認します。
  • Azure ADの証明書の認証のためのAD FSを構成している場合は、構成していることを確認、Azure ADの設定AD FSは、必要な規則を主張証明書発行者とシリアル番号
  • Azure ADの証明書の認証、Exchange ActiveSyncクライアントでは、クライアント証明書が必要ユーザーsルーティング可能なメール アドレスExchangeオンライン プリンシパル名またはサブジェクト代替名フィールドのRFC822名前の値です。 (Azure Active Directoryに、プロキシ アドレス属性ディレクトリ内にあるRFC822値がマップ)。

ユーザー証明書の認証のためのAD FSを構成します。

  • イントラネットまたはAD FS管理コンソールまたはSet-AdfsGlobalAuthenticationPolicy PowerShellコマンドレットを使用して、AD FSのエクストラネット認証方法としてユーザー証明書の認証を有効にします。
  • すべてのAD FSとWAPサーバー上のすべての中間証明書を含む信頼チェーン全体がインストールされていることを確認します。 すべてのAD FSおよびWAPサーバー上のローカル コンピューターの中間の証明機関] ストアには、中間証明書をインストールする必要があります。
  • 証明書フィールドと拡張機能に加えて、EKU (要求の種類http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku) に基づくクレームを使用する場合は、Active Directoryクレーム プロバイダー信頼に対する規則パススルーの追加の要求を構成します。 利用可能な証明書要求の全一覧については、以下をご覧ください。
  • [オプション]「クライアント認証用の信頼された発行元の管理」ガイダンスを使ってクライアント証明書の発行元の証明機関を許可を構成この資料します。

トラブルシューティング

  • HTTP 204「https://certauth.fs.contoso.comからコンテンツいいえ」の応答で証明書の認証要求が失敗した場合、ルート証明書と中間CA証明書がインストールされている、それぞれの確認、証明書のすべてのフェデレーション サーバー上のストアには、信頼されたルートCAと中間CAします。
  • 証明書の認証要求が不明な理由により失敗する場合は、.cerファイルをクライアント証明書をエクスポートし、コマンドを実行"certutil ~ f-urlfetch-certificatefilename.cerことを確認"します。 任意のCRLおよびデルタCRL場所の解決を確認します。 基本CRLの内容に基づくデルタCRLの場所を検出することに注意してください。

リファレンス: ユーザー証明書の完全な一覧要求の種類と値の例

要求の種類値の例
http://schemas.microsoft.com/2012/12/certificatecontext/field/x509version3
http://schemas.microsoft.com/2012/12/certificatecontext/field/signaturealgorithmsha256RSA
http://schemas.microsoft.com/2012/12/certificatecontext/field/issuerCN entca、DC = = ドメイン、DC contoso、DC = = com
http://schemas.microsoft.com/2012/12/certificatecontext/field/issuernameCN entca、DC = = ドメイン、DC contoso、DC = = com
http://schemas.microsoft.com/2012/12/certificatecontext/field/notbefore12/05/2016 20:50:18
http://schemas.microsoft.com/2012/12/certificatecontext/field/notafter12/05/2017 20:50:18
http://schemas.microsoft.com/2012/12/certificatecontext/field/subjectE user@contoso.com、CN = = ユーザー、CN = ユーザー、DCドメイン、DC = = contoso、DC = com
http://schemas.microsoft.com/2012/12/certificatecontext/field/subjectnameE user@contoso.com、CN = = ユーザー、CN = ユーザー、DCドメイン、DC = = contoso、DC = com
http://schemas.microsoft.com/2012/12/certificatecontext/field/rawdata{Base64でエンコードされたデジタル証明書データ}
http://schemas.microsoft.com/2012/12/certificatecontext/extension/keyusageDigitalSignature
http://schemas.microsoft.com/2012/12/certificatecontext/extension/keyusageKeyEncipherment
http://schemas.microsoft.com/2012/12/certificatecontext/extension/subjectkeyidentifier9D11941EC06FACCCCB1B116B56AA97F3987D620A
http://schemas.microsoft.com/2012/12/certificatecontext/extension/authoritykeyidentifierKeyID = d6 13 e3 6 b bc e5 d8 15 52 0 a fd 36 6 a d5 0 b 51 f3 0 b 25 7 f
http://schemas.microsoft.com/2012/12/certificatecontext/extension/certificatetemplatenameユーザー
http://schemas.microsoft.com/2012/12/certificatecontext/extension/sanその他の名前: プリンシパル名 = user@contoso.com、RFC822名 = user@contoso.com
http://schemas.microsoft.com/2012/12/certificatecontext/extension/eku1.3.6.1.4.1.311.10.3.4
© 2017 Microsoft