ADFS 3.0 certificato SSL signing request - pt. 2

adfs30certificate01

ADFS 3.0 per la sua implementazione richiede un certificato SSL dedicato da installare nei server ADFS per fornire agli utenti l'accesso SSO alla piattaforma Office 365.

Se si sta pianificando l'implementazione di Office 365, ADFS è il servizio che andrebbe considerato per mantenere il processo di autenticazione sincronizzato tra i vari dispositivi. In alternativa è possibile configurare il solo DirSync tool ma con una gestione separata delle autenticazioni.

 

Blog serie

ADFS 3.0 setup UPN suffix per Office 365 SSO - pt. 1
ADFS 3.0 certificato SSL signing request - pt. 2
ADFS 3.0 installazione Server ADFS - pt. 3
ADFS 3.0 installazione Server WAP - pt. 4
ADFS 3.0 federare Office 365 - pt. 5
ADFS 3.0 installazione Directory Sync tool - pt. 6
ADFS 3.0 distribuire Office 365 - pt. 7

 

Prerequisiti

Per configurare l'infrastruttura ADFS sono richiesti seguenti prerequisisti:

  • Almeno due server Windows 2012 R2 membri del dominio
  • Un server Windows 2012 R2 standalone NON membro del dominio e residente nell'area DMZ

 

Richiesta del certificato SSL

Poichè ADFS 3.0 non richiede più la configurazione IIS come nella versione precedente ma necessita di un certificato SSL per il suo funzionamento, prima di cominciare con la vera e propria configurazione del servizio è necessario effettuare la richiesta del certificato SSL dalla macchina che sarà utilizzata per il setup del servizio ADFS.

Da Start > Search program and files digitare il comando mmc e premere il tasto Enter per avviare la Snap-in console.

adfs30certificate02

Dal menu File selezionare l'opzione Add/remove Snap-in.

adfs30certificate03

Selezionare la voce Certificates quindi cliccare sul bottone Add.

adfs30certificate04

Poichè il certificato si riferisce alla macchina da cui è generato, selezionare l'opzione Computer account e cliccare su Next.

adfs30certificate05

Selezionare poi Local computer e cliccare su Finish.

adfs30certificate06

Quando il Certificates snap-in viene aggiunto nella parte destra della finestra, cliccare su OK per aprire la console.

adfs30certificate07

Espandere la voce Certificates ed effettuare un click con il tasto destro del mouse su Personal. Selezionare All Tasks > Advanced Operations > Create Custom Request.

adfs30certificate08

Si apre il Wizard del Certificate Enrollment. Cliccare su Next per procedere.

adfs30certificate09

Selezionare l'opzione Proceed without enrollment policy e cliccare su Next.

adfs30certificate10

Selezionare il valore (No template) CNG key dal menu a tendina Template e l'opzione PKCS #10 come Request format. Cliccare su Next.

adfs30certificate11

Con il template precedentemente selezionato, comparirà un messaggio di errore indicato in figura durante la configurazione di ADFS poichè la CNG private key non è supportata. Tenere a mente questo passaggio nel caso in cui si presenti questo errore.

adfs30certificate12

ADFS richiede una diversa tipologia di template per il certificato SSL. Dal Certificate Enrollment Wizard selezionare il valore (No template) Legacy key dal menu a tendina Template e l'opzione PKCS #10 come Request format. Cliccare su Next per continuare.

adfs30certificate13

Cliccare su Details per mostrare informazioni aggiuntive quindi cliccare su Properties.

adfs30certificate14

Nella sezione General digitare un Friendly name per meglio identificare il certificato e una Description. Selezionare successivamente la sezione Subject quando completato.

adfs30certificate15

In questa sezione vengono configurate le proprietà del certificato SSL. Dal menu a tendina Type selezionare la voce Common name.

adfs30certificate16

Nel campo Value digitare il nome assegnato al servizio ADFS (es. sts.nolabnoparty.com) e cliccare su Add. Questo è il nome che sarà configurato nei DNS pubblici. Cliccare su Add per aggiungere il Common Name al certificato.

adfs30certificate17

Ora selezionare la voce Organization dal menu a tendina e digitare il Value, cliccare poi su Add.

adfs30certificate18

Selezionare Organization unit, digitare il Value e cliccare su Add.

adfs30certificate19

Selezionare Locality, assegnare il Value e cliccare su Add.

adfs30certificate20

Selezionare State, digitare il Value e cliccare su Add.

adfs30certificate21

Selezionare Country, digitare il Value e cliccare su Add.

adfs30certificate22

Quando le proprietà del certificato sono state impostate, selezionare la sezione Private Key.

adfs30certificate23

Cliccare sul simbolo ^ del campo Cryptographic Service Provider per espandere le proprietà e selezionare l'opzione Microsoft RSA SChannel Cryptographic Provider (Encryption).

adfs30certificate24

Cliccare sul simbolo ^ del campo Key options per espandere le proprietà ed impostare il valore 2048 come Key size.

adfs30certificate25

Abilitare l'opzione Make private key exportable. Cliccare su OK per salvare le proprietà del certificato.

adfs30certificate26

Cliccare su Next per continuare con il processo di richiesta del certificato.

adfs30certificate27

Assegnare il File Name e selezionare Base 64 come File format. Cliccare su Finish per completare la procedura.

adfs30certificate28

Selezionare Certificate Enrollment > Certificates e verificare se la richiesta del certificato è presente nella parte destra.

adfs30certificate29

Effettuare un copia e incolla del certificato nel campo Certificate Signing Request della CA selezionata.

adfs30certificate30

 

Importare il certificato firmato

Quando la CA restituisce il certificato firmato, questo deve essere importato nel computer da cui è stato configurato. Dalla snap-in console Certificates, selezionare l'opzione Personal > All Tasks > Import.

adfs30certificate31

Viene aperto il Certificate Import Wizard. Cliccare su Next per continuare.

adfs30certificate32

Cliccando sul bottone Browse selezionare il file del certificato firmato e cliccare su Next.

adfs30certificate33

Posizionare il certificato nel Personal Certificate store e cliccare su Next.

adfs30certificate34

Cliccare su Finish per importare il certificato.

adfs30certificate35

Cliccare su OK per chiudere la finestra di conferma.

adfs30certificate36

Selezionare Personal > Certificates per verificare il certificato appena emesso. Il certificato è stato correttamente importato nel computer locale.

adfs30certificate37

 

Esportare il certificato con la chiave privata

Come visto nella parte 1 del setup di ADFS, un altro componente dell'infrastruttura (ADFS-WAP) richiede l'importazione dello stesso certificato per la sua corretta funzionalità.

Dalla console Certificates esportare il certificato includendo la private key. Da Personal > Certificates effettuare un click con il tasto destro del mouse sul certificato emesso e selezionare l'opzione All Tasks > Export.

adfs30certificate38

Si apre l'Export Wizard. Cliccare su Next per procedere.

adfs30certificate39

Selezionare l'opzione Yes, export the private key e cliccare su Next.

adfs30certificate40

Lasciare le opzioni di default e cliccare su Next.

adfs30certificate41

Per motivi di sicurezza, assegnare una Password per proteggere la private key.

adfs30certificate42

Digitare un File name e cliccare su Next.

adfs30certificate43

Cliccare su Finish per esportare il certificato.

adfs30certificate44

Cliccare su OK per chiudere la finestra di conferma.

adfs30certificate45

Il certificato .pfx è stato esportato correttamente.

adfs30certificate46

Nella parte 3 verrà effettuata l'installazione del servizio ADFS nel server come primo componente dell'infrastruttura.

firma