Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.
Ctrlk
For the complete documentation index, see llms.txt. This page is also available as Markdown.

Allgemeine Konfiguration

Damit SCEPman eingehende SOAP-Anfragen erfolgreich verarbeiten kann, sind einige Schritte erforderlich:

1. Benutzerdefinierte Domäne und BaseUrl

Für eine erfolgreiche Authentifizierung mit SCEPman stellen Sie sicher, dass eine benutzerdefinierte Domäne mit einem A-Record auf den App Service zeigt. Andernfalls kann der Client kein gültiges Kerberos-Ticket vom Domänencontroller anfordern.

Die benutzerdefinierte Domäne muss dem FQDN Ihrer AD-Domäne nicht ähneln. Eine Domäne ad.contoso.local bedeutet nicht, dass Sie für SCEPman eine identische oder ähnliche benutzerdefinierte Domäne benötigen.

Siehe das unten bekannte Problem bezüglich WS_E_ENDPOINT_ACCESS_DENIED für weitere Informationen.

Stellen Sie sicher, dass SCEPman so konfiguriert ist, dass es über eine benutzerdefinierte Domäne erreichbar ist:

Benutzerdefinierte Domäne

Dieselbe Anforderung gilt auch nach der ersten Richtlinienanforderung (Auflistung der Zertifikatvorlagen), um Zertifikate auszustellen. Damit Authentifizierungen erfolgreich sind, stellen Sie sicher, dass die AppConfig:BaseUrl Variable mit Ihrer benutzerdefinierten Domäne übereinstimmt oder verwenden Sie die dedizierte AppConfig:ActiveDirectory:BaseUrl Einstellung, wenn Sie den AD-Endpunkt lieber unter einer anderen URL als Ihre anderen SCEPman-Endpunkte aufrufen.

2. Service Principal erstellen

Verwenden Sie das New-SCEPmanADPrincipal Cmdlet des SCEPman-PowerShell-Moduls, um den Service Principal in Ihrer lokalen Active Directory-Domäne zu erstellen. Es exportiert außerdem eine Keytab aus diesem Konto und verschlüsselt sie mit dem CA-Zertifikat von SCEPman.

Sie können diesen Befehl auf einem Domain Controller oder einem der Domäne beigetretenen Server ausführen, auf dem die RSAT-AD-Tools Funktion installiert ist. Außerdem benötigen Sie die folgenden Berechtigungen in der OU, in der Sie den Principal erstellen möchten:

Direkt auf der OU:

  • Computerobjekte erstellen

Bei untergeordneten Computerobjekten:

  • Kennwort zurücksetzen

  • Schreiben msDS-SupportedEncryptionTypes

  • Schreiben servicePrincipalName

  • Schreiben userPrincipalName

Die folgende Variante erfordert außerdem ausgehenden HTTPS-Netzwerkzugriff auf Ihre SCEPman-Instanz.

Wenn Ihr Computer mit Zugriff auf einen Domain Controller keinen Netzwerkzugriff hat, gibt es Varianten des Cmdlets, die ohne ihn funktionieren, jedoch einige zusätzliche Vorbereitungen erfordern, z. B. das Herunterladen des SCEPman-CA-Zertifikats und das Kopieren der CA auf den Computer, der das Cmdlet ausführt.

Die Ausführung dieses Befehls führt Folgendes aus:

  1. Erstellen Sie ein Computerobjekt in der OU=Example,DC=contoso,DC=com Organisationseinheit.

  2. Laden Sie SCEPmans CA-Zertifikat herunter, um die Keytab in Schritt 5 zu verschlüsseln.

  3. Fügen Sie dem Computerobjekt einen Service Principal Name (SPN) hinzu.

  4. Erstellen Sie eine Keytab für das Computerkonto, die den Verschlüsselungsschlüssel auf Basis des Kennworts des Computers enthält.

  5. Verschlüsseln Sie die Keytab mit dem CA-Zertifikat von SCEPman, damit nur SCEPman sie mithilfe des privaten CA-Schlüssels wieder entschlüsseln kann.

  6. Geben Sie die verschlüsselte Keytab aus, damit sie in SCEPmans Konfiguration übertragen werden kann.

Die Base64-kodierte Ausgabe muss dann der Umgebungsvariable AppConfig:ActiveDirectory:Keytab Ihres SCEPman App Service.3

3. Keytab zu SCEPman hinzufügen

Die Integration kann einfach aktiviert werden, indem die folgenden Umgebungsvariablen im SCEPman App Service. Je nach Anwendungsfall aktivieren Sie eine oder mehrere der verfügbaren Zertifikatvorlagen:

Beispiel mit allen aktivierten Zertifikatvorlagen:

Einstellung

Wert

AppConfig:ActiveDirectory:Keytab

Base64-kodierte Keytab für den in Schritt 1 erstellten Service Principal

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:User:Enabled

true

AppConfig:ActiveDirectory:DC:Enabled

true

Bekannte Probleme

WS_E_ENDPOINT_ACCESS_DENIED

Dieser Fehler tritt bekanntermaßen bei der Validierung des CEP-Servers auf, wenn Sie die Standard URIs des Azure App Service. Dieser Fehler wird dadurch verursacht, dass das Kerberos-Protokoll einen Service Principal Name des A-Records des Dienstes anfordert, auf den zugegriffen werden soll. Bei den Standard-App-Service-Domänen, zum Beispiel contoso.azurewebsites.net ist nur ein CNAME und verweist auf einen A-Record ähnlich wie:

Da dieser A-Record eines Infrastrukturhosts in Zukunft nicht garantiert konsistent bleibt, ist das Hinzufügen eines Service Principal Names für diesen Host nicht empfohlen.

Stellen Sie sicher, dass Sie Ihrem App Service eine benutzerdefinierte Domäne hinzufügen und bei Ihrem DNS-Anbieter einen A-Record verwenden, um auf den App Service statt auf einen CNAME zu verweisen.

Benutzerdefinierte Domäne

ERROR_INVALID_PARAMETER

Dieser Fehler tritt bei der Registrierung des CEP-Servers auf, wenn Sie eine URI eingeben, die mit http://. Stellen Sie sicher, dass Sie einen CEP-Server nur mit https://

ERROR_ACCESS_DENIED

Bei der Registrierung eines CEP-Servers im Maschinenkontext muss der aktive Benutzer (das Konto, das gpmc.msc) Mitglied der lokalen Administratorgruppe auf dem Computer sein, während Sie die GPO bearbeiten.

Stellen Sie sicher, dass Sie gpmc.msc in diesem Fall mit erhöhten Berechtigungen starten.

Zuletzt aktualisiert

War das hilfreich?