circle-info
Dieser Artikel wurde automatisch übersetzt. Die Übersetzung kann Ungenauigkeiten enthalten.
Zur englischen Originalversion wechseln.chevron-right
search

Allgemeine Konfiguration

Um SCEPman zu ermöglichen, eingehende SOAP-Anfragen erfolgreich zu verarbeiten, müssen wir einige Schritte durchführen:

1

hashtag
Stellen Sie eine benutzerdefinierte Domain und BaseUrl sicher

Für eine erfolgreiche Authentifizierung mit SCEPman stellen Sie sicher, dass eine benutzerdefinierte Domain mit einem A-Eintrag auf den App Service verweist. Andernfalls wird der Client keinen gültigen Kerberos-Ticketanforderung beim Domänencontroller stellen können.

circle-info

Siehe das folgende bekannte Problem zu WS_E_ENDPOINT_ACCESS_DENIED für weitere Informationen dazu.

Stellen Sie sicher, dass SCEPman so konfiguriert ist, dass es über eine benutzerdefinierte Domain erreichbar ist:

Benutzerdefinierte Domänechevron-right

Die gleiche Anforderung gilt auch nach der anfänglichen Richtlinienanforderung (Auflistung der Zertifikatvorlagen) zum Ausstellen von Zertifikaten. Um hier eine erfolgreiche Authentifizierung zu ermöglichen, richten Sie auch die AppConfig:BaseUrl Variable auf Ihre benutzerdefinierte Domain ein oder verwenden Sie die spezielle AppConfig:ActiveDirectory:BaseUrl Einstellung, wenn der AD-Endpunkt unter einer anderen URL erreichbar sein soll als Ihre anderen SCEPman-Endpunkte.

2

hashtag
Dienstprinzipal erstellen

Verwenden Sie das New-SCEPmanADPrincipal Cmdlet des SCEPman-PowerShell-Moduls, um den Dienstprinzipal in Ihrer lokalen Active Directory-Domäne zu erstellen. Es exportiert außerdem ein Keytab aus diesem Konto und verschlüsselt es mit dem CA-Zertifikat von SCEPman.

Sie können diesen Befehl auf einem Domänencontroller oder einem der Domäne beigetretenen Server ausführen, auf dem die RSAT-AD-Tools Funktion installiert ist. Sie benötigen außerdem die folgenden Berechtigungen in der OU, in der Sie den Prinzipal erstellen möchten:

Auf der OU selbst:

  • Computerobjekte erstellen

Auf untergeordneten Computerobjekten:

  • Passwort zurücksetzen

  • schreiben msDS-SupportedEncryptionTypes

  • schreiben servicePrincipalName

  • schreiben userPrincipalName

Die Variante unten erfordert auch ausgehenden HTTPS-Netzwerkzugriff zu Ihrer SCEPman-Instanz.

circle-info

Wenn Ihr Computer mit Zugriff auf einen Domänencontroller keinen Netzwerkzugang hat, gibt es Varianten des Cmdlets, die ohne diesen Zugriff funktionieren, aber zusätzliche Vorbereitungen erfordern, insbesondere das Herunterladen des SCEPman-CA-Zertifikats und das Kopieren auf die Maschine, die das Cmdlet ausführt.

Die Ausführung dieses Befehls führt Folgendes aus:

  1. Erstellt ein Computerobjekt in der OU=Example,DC=contoso,DC=com Organizational Unit.

  2. Lädt das CA-Zertifikat von SCEPman herunter, um das Keytab in Schritt 5 zu verschlüsseln.

  3. Fügt dem Computerobjekt einen Service Principal Name (SPN) hinzu.

  4. Erstellt ein Keytab für das Computerkonto, das den Verschlüsselungsschlüssel basierend auf dem Passwort des Computers enthält.

  5. Verschlüsselt das Keytab mit dem CA-Zertifikat von SCEPman, sodass nur SCEPman es mithilfe des privaten CA-Schlüssels wieder entschlüsseln kann.

  6. Gibt das verschlüsselte Keytab aus, damit es in die SCEPman-Konfiguration übertragen werden kann.

Die Base64-codierte Ausgabe muss dann in die Umgebungsvariable AppConfig:ActiveDirectory:Keytab Ihres SCEPman-App-Services übertragen werden.

3

hashtag
Keytab zu SCEPman hinzufügen

Die Integration kann einfach aktiviert werden, indem die folgenden Umgebungsvariablen im SCEPman App Service hinzugefügt werden.

Je nach Anwendungsfall aktivieren Sie eine oder mehrere der verfügbaren Zertifikatvorlagen:

Beispiel mit allen aktivierten Zertifikatvorlagen:
Einstellung

AppConfig:ActiveDirectory:Keytab

Wert

Base64-codiertes Keytab für den in Schritt 1 erstellten Dienstprinzipal

AppConfig:ActiveDirectory:Computer:Enabled

true

AppConfig:ActiveDirectory:Computer:Enabled

AppConfig:ActiveDirectory:User:Enabled

AppConfig:ActiveDirectory:Computer:Enabled

hashtag
AppConfig:ActiveDirectory:DC:Enabled

hashtag
WS_E_ENDPOINT_ACCESS_DENIED

Bekannte Probleme 
Fehler: WS_E_ENDPOINT_ACCESS_DENIED
Hex: 0x803d0005

Dec: -2143485947 Es ist bekannt, dass dieser Fehler bei der Validierung des CEP-Servers auftritt, wenn Sie die Standard-URIs des Azure App Service verwenden. Dieser Fehler wird durch das Kerberos-Protokoll verursacht, das nach einem Service Principal Name des A-Eintrags des Dienstes fragt, auf den zugegriffen werden soll. Im Fall der Standard-App-Service-Domains, zum Beispiel contoso.azurewebsites.net

ist nur ein CNAME und verweist auf einen A-Eintrag ähnlich wie:

waws-prod-ab1-234-c56d.westeurope.cloudapp.azure.com Da für diesen A-Eintrag eines Infrastruktur-Hosts in Zukunft keine Konsistenz garantiert werden kann, ist das Hinzufügen eines Service Principal Name für diesen Host.

nicht empfohlen

Benutzerdefinierte Domänechevron-right

hashtag
Stellen Sie sicher, dass Sie Ihrem App Service eine benutzerdefinierte Domain hinzufügen und einen A-Eintrag bei Ihrem DNS-Anbieter verwenden, um ihn auf den App Service zu verweisen, anstatt einen CNAME zu verwenden.

ERROR_INVALID_PARAMETER
Fehler: ERROR_INVALID_PARAMETER
Hex: 0x80070057

Dec: -2147024809 Dieser Fehler tritt während der Registrierung des CEP-Servers auf, wenn Sie eine URI eingeben, die mithttp:// beginnt. Stellen Sie sicher, dass Sie einen CEP-Server nur mit

hashtag
https://

Hex: 0x80070005 Dec: -2147024891Beim Registrieren eines CEP-Servers im Maschinenkontext muss der handelnde Benutzer (das Konto, das

gpmc.msc Dec: -2147024891 ) gestartet hat, Mitglied der lokalen Administratorengruppe auf dem Computer sein, während die GPO bearbeitet wird.

Zuletzt aktualisiert

War das hilfreich?