Wie ihr also in den Links oben lesen könnt, sind «nur» neuere Clients in der Lage SNI-Informationen im TLS Handshake mitzusenden. Die Clients machen mir aber in der Praxis nur selten Sorgen. Es ist eher so, dass ADFS Umgebungen meist redundant aufgebaut werden und daher auch ein Load Balancing benötigen. Nun ist es eben so, dass die meisten Load Balancer nicht mit SNI umgehen können oder diese Informationen auf dem Backend einfach nicht weiter geben.
Ein ADFS 3.0 Server möchte aber in der Default-Konfiguration diese Information haben. Anfragen ohne SNI Informationen werden nicht verarbeitet. Also müssen wir den ADFS 3.0 Server dazu bringen, diese Anfragen trotzdem zu verarbeitet. Bewerkstelligt wird dies, indem man ein Standard Zertifikat definiert. Und gemacht wird dies so:
App-ID und Cert Hash auslesen
Um das Standard-Zertifikat zu setzen, benötigen wir den Cert-Hash und die App Id. Diese Information bekommen wir auf einem der ADFS Server in der Power Shell mit folgenden Befehl.netsh http show sslcert
Default Zertifikat setzen
Um nun das Default Zertifikat zu setzen, wird folgender Befehl verwendet:netsh http add sslcert ipport=<IPAddress:port> certhash=<certhash> appid='<appid>' certstorename=MY
Um das Zertifikat an alle vorhandenen IPs des Server zu binden kann <IPAddress:port> mit 0.0.0.0:443 ersetzt werden. den certhash und die appid findet ihr im Resultat des letzten Befehls.
Achtet auf die Hochkommas bei der App Id. Auf gewissen Systemen werden sie benötigt und auf anderen nicht.
Keine Kommentare:
Kommentar veröffentlichen