Dienstag, 5. Mai 2015

ADFS 3.0 non SNI Client Support konfiguration

Seit Windows Server 2012 R2 ist ADFS in der Version 3.0 verfügbar. Eine der grossen Änderungen ist, dass das es ADFS Proxy nicht mehr gibt. Es wird auch keine IIS mehr benötigt. Dafür ist aber der Support von SNI dazu gekommen. Aber was ist denn SNI überhaupt? SNI heisst «Server Name Indication». Infos über SNI gibt es hier und hier.

Wie ihr also in den Links oben lesen könnt, sind «nur» neuere Clients in der Lage SNI-Informationen im TLS Handshake mitzusenden. Die Clients machen mir aber in der Praxis nur selten Sorgen. Es ist eher so, dass ADFS Umgebungen meist redundant aufgebaut werden und daher auch ein Load Balancing benötigen. Nun ist es eben so, dass die meisten Load Balancer nicht mit SNI umgehen können oder diese Informationen auf dem Backend einfach nicht weiter geben.

Ein ADFS 3.0 Server möchte aber in der Default-Konfiguration diese Information haben. Anfragen ohne SNI Informationen werden nicht verarbeitet. Also müssen wir den ADFS 3.0 Server dazu bringen, diese Anfragen trotzdem zu verarbeitet. Bewerkstelligt wird dies, indem man ein Standard Zertifikat definiert. Und gemacht wird dies so:



App-ID und Cert Hash auslesen

Um das Standard-Zertifikat zu setzen, benötigen wir den Cert-Hash und die App Id. Diese Information bekommen wir auf einem der ADFS Server in der Power Shell mit folgenden Befehl.

netsh http show sslcert


Default Zertifikat setzen

Um nun das Default Zertifikat zu setzen, wird folgender Befehl verwendet:

netsh http add sslcert ipport=<IPAddress:port> certhash=<certhash> appid='<appid>' certstorename=MY

Um das Zertifikat an alle vorhandenen IPs des Server zu binden kann <IPAddress:port> mit 0.0.0.0:443 ersetzt werden. den certhash und die appid findet ihr im Resultat des letzten Befehls.

Achtet auf die Hochkommas bei der App Id. Auf gewissen Systemen werden sie benötigt und auf anderen nicht.

Wenn wir nun den ersten Befehl nochmal ausführen, sieht das Resultat wie folgt aus:





Keine Kommentare:

Kommentar posten