Das Web-SSO-Szenario

Die Zertifikate

Der nächste Schritt ist die Erstellung der selbstsignierten Zertifikate und ihre Zuordnung zu den jeweiligen Standardwebsites. Dazu müssen die IIS zunächst auf dem Webserver und dem ADFSServer eingerichtet werden. Das geschieht wie immer über den Bereich Software in der Systemsteuerung und dort über Windows-Komponenten hinzufügen/entfernen. Die IIS werden im Bereich Anwendungsserver aktiviert. Microsoft empfiehlt, die Auswahl Anwendungsserver komplett zu wählen.

Für die Erstellung der Zertifikate muss in das Unterverzeichnis SelfSSL des Installationsverzeichnisses des IIS Resource Kit gewechselt werden. Dort kann das Programm selfssl.exe mit der Syntax

selfssl /t /n:cn=<fullyqualifieddomainname> /v:365

ausgeführt werden. Als Name ist der vollständige Hostname anzugeben (Bild 3). Der Parameter /v gibt die Gültigkeit des Zertifikats in Tagen an. Bei der Abfrage muss angegeben werden, dass das Zertifikat gleich der Standardwebsite der IISInstallation zugewiesen wird.

Bild 3: Für jeden ADFS- und Webserver muss ein selbstsigniertes Zertifikat erstellt werden.
Bild 3: Für jeden ADFS- und Webserver muss ein selbstsigniertes Zertifikat erstellt werden.

Zusätzlich ist es erforderlich, das Zertifikat des ADFS-Service Provider (Ressourcen-Server) zu exportieren und beim Webserver zu importieren, damit eine Vertrauensstellung auf der Ebene der Zertifikate besteht. Dazu starten Sie den Internetinformationsdienste-Manager, um die Eigenschaften der Standardwebsite zu öffnen. Das erstellte Zertifikat lässt sich hier bei Verzeichnissicherheit mit Zertifikat anzeigen öffnen. Im Register Details findet sich die Schaltfläche In Datei kopieren, mit der Sie den Kopiervorgang starten (Bild 4). Ein Assistent leitet durch diesen Prozess. Der private Schlüssel darf nicht exportiert werden. Als Dateityp muss DER-codiert-binär X.509(.CER) ausgewählt werden. Anschließend muss noch ein Dateiname angegeben werden, bevor der eigentliche Export erfolgen kann.

Bild 4: Die Informationen zu dem selbstsignierten Zertifikat.
Bild 4: Die Informationen zu dem selbstsignierten Zertifikat.

Im nächsten Schritt erfolgt der Import über die Anwendung Zertifikate. Dazu muss zunächst über das Startmenü mit mmc.exe eine neue MMC-Konsole gestartet werden, in welche das Snap-In Zertifikate aufgenommen wird, wobei die Zertifikate für das Computerkonto (!) auf dem lokalen Computer verwaltet werden.

In der Anwendung wählt man nun den Bereich Vertrauenswürdige Stammzertifizierungsstellen/Zertifikate. Anschließend lässt sich im Kontextmenü über Alle Aufgaben/Importieren der Importvorgang starten. Er wird durch einen Assistenten unterstützt (Bild 5). Das Zertifikat soll in den Ordner Vertrauenswürdige Stammzertifizierungsstellen gelegt werden, Damit ist der Import abgeschlossen und der ADFS-Server wird als vertrauenswürdig akzeptiert.

Bild 5: Das Zertifikat muss beim Web-Server importiert werden.
Bild 5: Das Zertifikat muss beim Web-Server importiert werden.

Der ADFS-Web-Agent

Nun geht es mit der Einrichtung der ADFS-Komponenten überhaupt erst los. Der erste Schritt ist die Einrichtung der ADFS-Web-Agents auf dem oder den Webservern, die verwendet werden. Dieser Installationsschritt erfolgt über den Bereich Software in der Systemsteuerung. Bei Windows-Komponenten hinzufügen/entfernen kann die Option Active Directory-Dienste und dort wiederum ADFS (Active Directory-Verbunddienste) gewählt werden. Bei den Optionen finden sich die ADFSWeb-Agents als die zu installierende Komponente. Dort können erneut Details eingestellt werden. Hier müssen beide Varianten von Anwendungen (Bild 6) ausgewählt werden. Nach der Auswahl von Weiter beginnt der eigentliche Installationsprozess. In diesem Rahmen wird auch das Microsoft .NET Framework 2.0 installiert, soweit das noch nicht geschehen ist. Da dieses sehr groß ist, dauert der Vorgang einige Minuten.

Bild 6. Die Auswahl der Anwendungstypen bei der Einrichtung des ADFS-Web-Agents.
Bild 6. Die Auswahl der Anwendungstypen bei der Einrichtung des ADFS-Web-Agents.