circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Allgemeine Konfiguration

Um SCEPman zu ermöglichen, eingehende SOAP-Anfragen erfolgreich zu verarbeiten, müssen wir einige Schritte durchführen:

1

hashtag
Service-Prinzipal erstellen

Verwenden Sie das New-SCEPmanADPrincipal Cmdlet des SCEPman-Powershell-Moduls, um den Service-Prinzipal in Ihrer lokalen Active Directory-Domäne zu erstellen. Es wird außerdem ein Keytab aus diesem Konto exportieren und mit SCEPmans CA-Zertifikat verschlüsseln.

Führen Sie dieses Cmdlet mit einem Konto aus, das über Domain-Administrator-Berechtigungen und Netzwerkzugriff auf einen Domänencontroller verfügt. Die Variante unten erfordert außerdem ausgehenden HTTPS-Netzwerkzugriff auf Ihre SCEPman-Instanz.

circle-info

Wenn Ihr Rechner mit Zugriff auf einen Domänencontroller keinen Netzwerkzugriff hat, gibt es Varianten des Cmdlets, die ohne diesen Zugriff funktionieren, aber zusätzliche Vorbereitungen erfordern, insbesondere das Herunterladen des SCEPman-CA-Zertifikats und das Kopieren auf die Maschine, die das Cmdlet ausführt.

Durch Ausführen dieses Befehls werden die folgenden Aktionen durchgeführt:

  1. Erstellen eines Computerobjekts in der OU=Example,DC=contoso,DC=com Organisationseinheit.

  2. Herunterladen des SCEPman-CA-Zertifikats, um das Keytab in Schritt 5 zu verschlüsseln.

  3. Hinzufügen eines Service Principal Name (SPN) zum Computerobjekt.

  4. Erstellen eines Keytabs für das Computerkonto, das den Verschlüsselungsschlüssel basierend auf dem Computerpasswort enthält.

  5. Verschlüsseln des Keytabs mit dem CA-Zertifikat von SCEPman, sodass nur SCEPman es mit dem CA-Privatschlüssel wieder entschlüsseln kann.

  6. Ausgabe des verschlüsselten Keytabs, damit es in die SCEPman-Konfiguration übertragen werden kann.

Die Base64-kodierte Ausgabe muss dann in die Umgebungsvariable übertragen werden AppConfig:ActiveDirectory:Keytab Ihrer SCEPman-App-Service.

2

hashtag
Keytab zu SCEPman hinzufügen

Die Integration kann einfach aktiviert werden, indem Sie die folgenden Umgebungsvariablen im SCEPman App Service hinzufügen.

Je nach Anwendungsfall aktivieren Sie eine oder mehrere der verfügbaren Zertifikatvorlagen:

Einstellung
Wert

AppConfig:ActiveDirectory:Keytab

Beispiel mit allen aktivierten Zertifikatvorlagen:

Base64-kodiertes Keytab für den in Schritt 1 erstellten Service-Prinzipal

true

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

3

hashtag
AppConfig:ActiveDirectory:DC:Enabled

Stellen Sie benutzerdefinierte Domain und BaseUrl sicher Für eine erfolgreiche Authentifizierung mit SCEPman stellen Sie sicher, dass eine benutzerdefinierte Domain mithilfe eines A-Eintrags

circle-info

auf den App Service zeigt. Andernfalls schlägt der Client fehl, ein gültiges Kerberos-Ticket vom Domänencontroller anzufordern. Siehe das untenstehende bekannte Problem zu WS_E_ENDPOINT_ACCESS_DENIED

für weitere Informationen hierzu.

Benutzerdefinierte Domainchevron-right

Stellen Sie sicher, dass SCEPman so konfiguriert ist, dass es über eine benutzerdefinierte Domain zugänglich ist: AppConfig:BaseUrl Die gleiche Anforderung gilt auch nach der anfänglichen Richtlinienanforderung (Auflisten der Zertifikatvorlagen) zum Ausstellen von Zertifikaten. Um hier eine erfolgreiche Authentifizierung zu ermöglichen, stellen Sie sicher, dass Sie auch die Variable auf Ihre benutzerdefinierte Domain setzen oder verwenden Sie die dedizierte AppConfig:ActiveDirectory:BaseUrl

hashtag
Einstellung, wenn erforderlich ist, dass der AD-Endpunkt unter einer anderen URL zugänglich ist als Ihre anderen SCEPman-Endpunkte.

hashtag
Siehe das untenstehende bekannte Problem zu

Bekannte Probleme 
Fehler: WS_E_ENDPOINT_ACCESS_DENIED
Hex: 0x803d0005

Dec: -2143485947 Es ist bekannt, dass dieser Fehler während der Validierung des CEP-Servers auftritt, wenn Sie die Standard-URIs des Azure App Service verwenden. Dieser Fehler wird verursacht, weil das Kerberos-Protokoll nach einem Service Principal Name des A-Records des Dienstes fragt, auf den zugegriffen werden soll. Im Fall der Standard-App-Service-Domains, zum Beispiel contoso.azurewebsites.net

ist nur ein CNAME und verweist auf einen A-Eintrag ähnlich wie:

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com Da dieser A-Eintrag eines Infrastrukturs Hosts nicht garantiert dauerhaft konsistent bleibt, wird das Hinzufügen eines Service Principal Name für diesen Host.

nicht empfohlen

Benutzerdefinierte Domainchevron-right

hashtag
Stellen Sie sicher, dass Sie Ihrem App Service eine benutzerdefinierte Domain hinzufügen und innerhalb Ihres DNS-Anbieters einen A-Eintrag verwenden, der auf den App Service zeigt, anstatt einen CNAME zu verwenden.

ERROR_INVALID_PARAMETER
Fehler: ERROR_INVALID_PARAMETER
Hex: 0x80070057

Dec: -2147024809 Dieser Fehler tritt während der Registrierung des CEP-Servers auf, wenn Sie eine URI eingeben, die mithttp:// . beginnt. Stellen Sie sicher, dass Sie einen CEP-Server nur mit

hashtag
https://

Hex: 0x80070005 Dec: -2147024891Beim Registrieren eines CEP-Servers im Maschinenkontext muss der handelnde Benutzer (das Konto, das

gpmc.msc Dec: -2147024891 ) Mitglied der lokalen Administratorengruppe auf dem Computer sein, während die GPO bearbeitet wird. Stellen Sie in diesem Fall sicher, dass Sie das Programm mit erhöhten Rechten starten.

Zuletzt aktualisiert

War das hilfreich?