联邦身份验证服务
Citrix联邦身份验证服务是设计用于与Active Directory证书服务集成的特权组件。它动态地为用户颁发证书,允许他们像拥有智能卡一样登录到Active Directory环境。这允许StoreFront使用更广泛的身份验证选项,例如SAML(安全断言标记语言)断言。SAML通常用作Internet上传统Windows用户帐户的替代方案。
下图显示了联邦身份验证服务与Microsoft证书颁发机构集成,并为StoreFront、XenApp和XenDesktop虚拟交付代理(vda)提供支持服务。
当用户请求访问Citrix环境时,受信任的StoreFront服务器与联邦身份验证服务(FAS)联系。FAS授予一个票证,允许单个XenApp或XenDesktop会话使用该会话的证书进行身份验证。当VDA需要对用户进行身份验证时,它连接到FAS并兑换票据。只有FAS有权访问用户证书的私钥;VDA必须将它需要对证书执行的每个签名和解密操作发送给FAS。
需求
联邦身份验证服务支持Windows服务器(Windows Server 2008 R2或更高版本)。
- Citrix建议将FAS安装在不包含其他Citrix组件的服务器上。
- Windows Server应得到保护。它将能够访问注册授权证书和私钥,这些证书和私钥允许它自动为域用户颁发证书,并且它将能够访问这些用户证书和私钥。
- FAS的PowerShell SDK要求在FAS服务器上安装Windows PowerShell 64位。
- 颁发用户证书需要Microsoft企业证书颁发机构。
XenApp或XenDesktop站点:
- 交付控制器必须是最低版本7.15。
- vda的最低版本为7.15。在以通常的方式创建机器编目之前,请检查联邦身份验证服务组策略配置已正确应用到vda;请参见“配置组策略”章节。
- StoreFront服务器必须是最低3.12版本(XenApp和XenDesktop 7.15 ISO提供的版本)。
在计划部署此服务时,请查看安全注意事项一节。
引用:
- Active Directory证书服务
- 配置Windows证书登录
https://support.citrix.com/article/CTX206156
安装和设置顺序
- 安装联邦身份验证服务
- 在StoreFront服务器上启用联邦身份验证服务插件
- 配置组策略
- 使用联邦身份验证服务管理控制台来:(a)部署提供的模板, (b)设置证书颁发机构,及(c)授权联邦身份验证服务使用您的证书颁发机构
- 配置用户规则
安装联邦身份验证服务
为了安全起见,Citrix建议将FAS安装在专用服务器上,该服务器的安全方式与域控制器或证书颁发机构类似。FAS可以从联邦身份验证服务当ISO被插入时,自动运行启动画面上的按钮。
这将安装以下组件:
- 联邦身份验证服务
- PowerShell管理单元cmdlets远程配置联邦身份验证服务
- 联邦身份验证服务管理控制台
- 联邦身份验证服务组策略模板(CitrixFederatedAuthenticationService.admx/adml)
- 用于简单的证书颁发机构配置的证书模板文件
- 性能计数器而且事件日志
在StoreFront商店上启用联邦身份验证服务插件
要在StoreFront Store上启用联邦身份验证服务集成,请以管理员帐户运行以下PowerShell cmdlets。如果您有多个商店,或者商店有不同的名称,则下面的路径文本可能不同。
“获取模块”Citrix.StoreFront。*" -ListAvailable | Import-Module $StoreVirtualPath = "/Citrix/Store" $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory" Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider" ```要停止使用FAS,请使用以下PowerShell脚本:
“获取模块”Citrix.StoreFront。*" -ListAvailable | Import-Module $StoreVirtualPath = "/Citrix/Store" $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory" Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "" ```配置下发控制器
若要使用联邦身份验证服务,请将XenApp或XenDesktop交付控制器配置为信任可以连接到它的StoreFront服务器:运行Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $truePowerShell cmdlet。
配置组策略
安装联邦身份验证服务后,必须使用安装中提供的组策略模板在组策略中指定FAS服务器的完整DNS地址。
重要的是:确保请求票据的StoreFront服务器和赎回票据的vda具有相同的DNS地址配置,包括Group Policy对象应用的自动服务器编号。
为简单起见,以下示例在域级别配置一个应用于所有计算机的策略;然而,这不是必需的。只要StoreFront服务器、vda和运行FAS管理控制台的机器看到相同的DNS地址列表,FAS就可以正常工作。请注意,Group Policy对象为每个条目添加了一个索引号,如果使用多个对象,则该索引号也必须匹配。
步骤1。在安装FAS的服务器上,找到C:\Program Files\Citrix\Federated AuthenticationService \PolicyDefinitions\CitrixFederatedAuthenticationService。admx文件和en-US文件夹。
步骤2。将它们复制到域控制器,并将它们放在C:\Windows\PolicyDefinitions and en-US子文件夹中。
步骤3。从命令行运行Microsoft管理控制台(mmc.exe)。从菜单栏中选择文件>添加/删除管理单元.添加组策略管理编辑.
当提示输入组策略对象时,选择浏览然后选择默认域策略.或者,您可以使用您选择的工具为您的环境创建和选择适当的策略对象。该策略必须应用于运行受影响的Citrix软件的所有计算机(vda、StoreFront服务器、管理工具)。
步骤4。导航到位于计算机配置/策略/管理模板/Citrix组件/身份验证中的联邦身份验证服务策略。
第5步。打开联邦身份验证服务策略并选择启用.这允许您选择显示按钮,在此配置FAS服务器的DNS地址。
步骤6。输入承载联邦身份验证服务的服务器的DNS地址。
记住:如果输入多个地址,则StoreFront服务器和vda之间的列表顺序必须一致。这包括空白或未使用的列表项。
步骤7。点击好吧,退出“组策略”向导并应用组策略更改。您可能需要重新启动计算机(或运行gpupdate /力从命令行)使更改生效。
启用会话内证书支持并在锁定时断开连接
会话内证书支持
组策略模板包括为会话内证书配置系统的支持。这将在登录后将证书放在用户的个人证书存储区中,以供应用程序使用。例如,如果您需要在VDA会话中对web服务器进行TLS身份验证,Internet Explorer可以使用该证书。默认情况下,vda将不允许登录后访问证书。
锁上断开
如果启用此策略,当用户锁定屏幕时,会话将自动断开。此功能提供了类似于“智能卡删除断开连接”策略的行为,并且对于用户没有Active Directory登录凭据的情况非常有用。
注意:
断开锁定策略适用于VDA上的所有会话。
使用联邦身份验证服务管理控制台
联邦身份验证服务管理控制台作为联邦身份验证服务的一部分安装。开始菜单中放置了一个图标(Citrix Federated Authentication Service)。
控制台尝试使用组策略配置自动定位环境中的FAS服务器。如果失败,请参见配置组策略部分。
如果您的用户帐户不是运行联邦身份验证服务的计算机上Administrators组的成员,系统将提示您输入凭据。
第一次使用管理控制台时,它将指导您完成一个三步过程,即部署证书模板、设置证书颁发机构和授权联邦身份验证服务使用证书颁发机构。其中一些步骤也可以使用操作系统配置工具手动完成。
部署证书模板
为了避免与其他软件的互操作性问题,联邦身份验证服务提供了三个Citrix证书模板供自己使用。
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
这些模板必须已注册到Active Directory。如果控制台无法定位它们,则部署证书模板工具可以安装它们。此工具必须作为具有管理企业林权限的帐户运行。
模板的配置可以在扩展名为.certificatetemplate的XML文件中找到,这些文件与联邦身份验证服务一起安装在:
C:\Program Files\Citrix\Federated认证服务\CertificateTemplates
如果您没有权限安装这些模板文件,请将它们交给Active Directory管理员。
要手动安装模板,可以使用以下PowerShell命令:
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate") $CertEnrol = New-Object -ComObject X509Enrollment。CX509EnrollmentPolicyWebService $CertEnrol.InitializeImport($template) $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0) $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable $writabletemplate.Initialize($comtemplate) $writabletemplate.Commit(1, $NULL) ```设置Active Directory证书服务
安装Citrix证书模板后,必须将它们发布到一个或多个Microsoft Certification Authority服务器上。有关如何部署活动目录证书服务,请参阅Microsoft文档。
如果模板没有发布到至少一个服务器上,则设置证书颁发机构Tool提供了发布它们的功能。您必须以具有管理证书颁发机构权限的用户运行此工具。
(证书模板也可以使用Microsoft Certification Authority控制台发布。)
授权联邦身份验证服务
控制台中的最后一个设置步骤将启动联邦身份验证服务的授权。管理控制台使用Citrix_RegistrationAuthority_ManualAuthorization模板生成证书请求,然后将其发送到发布该模板的证书颁发机构之一。
请求发送后,它将出现在挂起的请求微软认证中心控制台的列表。证书颁发机构管理员必须选择问题或否认可以继续配置联邦身份验证服务之前的请求。请注意,授权请求显示为等待请求从FAS机器帐户。
右键单击所有任务然后选择问题或否认用于证书请求。联邦身份验证服务管理控制台将自动检测此过程何时完成。这可能需要几分钟。
配置用户规则
根据StoreFront的指示,用户规则授权为VDA登录和会话中使用颁发证书。每条规则都指定了受信任的请求证书的StoreFront服务器、可以请求证书的用户集以及允许使用证书的VDA机器集。
要完成联邦身份验证服务的设置,管理员必须通过切换到FAS管理控制台的User Rules选项卡来定义默认规则,选择将Citrix_SmartcardLogon模板发布到的证书颁发机构,并编辑StoreFront服务器列表。vda列表默认为域计算机,用户列表默认为域用户;如果默认值不合适,可以更改这些参数。
字段:
证书颁发机构和证书模板:用于颁发用户证书的证书模板和证书颁发机构。这应该是Citrix_SmartcardLogon模板,或者在模板发布到的证书颁发机构之一上的该模板的修改副本。
FAS支持使用PowerShell命令为故障转移和负载平衡添加多个证书颁发机构。类似地,可以使用命令行和配置文件配置更高级的证书生成选项。看到PowerShell而且硬件安全模块部分。
在会话证书:登录后可用复选框控制证书是否也可以作为会话中证书使用。如果不选中该复选框,证书将仅用于登录或重新连接,用户在验证后将无法访问该证书。
可以使用此规则的StoreFront服务器列表:被授权为用户登录或重新连接请求证书的受信任StoreFront服务器计算机的列表。注意,此设置是安全关键的,必须仔细管理。
可按此规则登录的VDA桌面和服务器列表:可以使用联邦身份验证服务系统让用户登录的VDA机器的列表。
StoreFront可以使用此规则登录的用户列表:可以通过联邦身份验证服务向其颁发证书的用户列表。
先进的使用
您可以创建额外的规则来引用不同的证书模板和授权,这些证书模板和授权可以配置为具有不同的属性和权限。这些规则可以配置为供不同的StoreFront服务器使用,这些服务器需要配置为按名称请求新规则。默认情况下,StoreFront请求默认的在联系联邦身份验证服务时。这可以使用组策略配置选项进行更改。
要创建新的证书模板,请在Microsoft Certification Authority控制台上复制Citrix_SmartcardLogon模板,并将其重命名(例如,Citrix_SmartcardLogon2),然后根据需要进行修改。单击,创建新的用户规则添加引用新的证书模板。
升级注意事项
- 执行就地升级时,将保留所有联邦身份验证服务服务器设置。
- 通过运行全产品XenApp和XenDesktop安装程序升级联邦身份验证服务。
- 在将联邦身份验证服务从7.15 LTSR升级到7.15 LTSR CU2(或支持的更高版本的CU)之前,请将控制器和vda(以及其他核心组件)升级到所需的版本。
- 在升级联邦身份验证服务之前,请确保联邦身份验证服务控制台已关闭。
- 确保至少有一个联邦身份验证服务服务器一直可用。如果启用了Federation Authentication service的StoreFront服务器无法访问服务器,则用户无法登录或启动应用程序。
安全注意事项
联邦身份验证服务拥有一个注册授权证书,允许它代表域用户自主地颁发证书。因此,开发和实现一个安全策略来保护FAS服务器并限制它们的权限是很重要的。
委托招生代理人
FAS作为注册代理颁发用户证书。Microsoft Certification Authority允许控制FAS服务器可以使用哪些模板,以及限制FAS服务器可以向哪些用户颁发证书。
Citrix强烈建议配置这些选项,以便联邦身份验证服务只能为预期的用户颁发证书。例如,防止联邦身份验证服务向管理组或受保护用户组中的用户颁发证书是一种良好的实践。
访问控制列表配置
如在配置用户规则节中,必须配置一个StoreFront服务器列表,这些服务器受信任,以便在颁发证书时向联邦身份验证服务断言用户身份。类似地,您可以限制向哪些用户颁发证书,以及他们可以向哪些VDA机器进行身份验证。这是您配置的任何标准Active Directory或证书颁发机构安全特性的补充。
防火墙设置
到FAS服务器的所有通信都通过端口80使用相互验证的Windows communication Foundation (WCF) Kerberos网络连接。
事件日志监控
联邦身份验证服务和VDA将信息写入Windows事件日志。这可用于监视和审计信息。的事件日志部分列出可能生成的事件日志条目。
硬件安全模块
所有私钥(包括联邦身份验证服务颁发的用户证书的私钥)都由网络服务帐户存储为不可导出的私钥。如果安全策略需要,联邦身份验证服务支持使用加密硬件安全模块。
低级加密配置可在FederatedAuthenticationService.exe.config文件中使用。这些设置在首次创建私钥时应用。因此,可以对注册机构私钥(例如,4096位,TPM保护)和运行时用户证书使用不同的设置。
| 参数 | 描述 |
|---|---|
| ProviderLegacyCsp | 当设置为true时,FAS将使用Microsoft CryptoAPI (CAPI)。否则,FAS将使用微软加密下一代API (CNG)。 |
| ProviderName | 要使用的CAPI或CNG提供商的名称。 |
| ProviderType | 引用Microsoft KeyContainerPermissionAccessEntry。ProviderType属性PROV_RSA_AES应该始终为24,除非您使用带有CAPI的HSM并且HSM供应商另有指定。 |
| KeyProtection | 控制私钥的“可导出”标志。如果硬件支持的话,还允许使用可信平台模块(TPM)密钥存储。 |
| KeyLength | RSA私钥的密钥长度。支持1024、2048、4096(默认值:2048)。 |
PowerShell SDK
尽管Federated Authentication Service管理控制台适用于简单的部署,但PowerShell接口提供了更高级的选项。当您使用控制台上不可用的选项时,Citrix建议只使用PowerShell进行配置。
下面的命令添加PowerShell cmdlets:
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
使用得到帮助<cmdlet名字>显示cmdlet帮助。下表列出了几个命令,其中*表示标准PowerShell谓词(如New、Get、Set、Remove)。
| 命令 | 概述 |
|---|---|
| * -FasServer | 列出并重新配置当前环境中的FAS服务器。 |
| * -FasAuthorizationCertificate | 管理注册中心证书。 |
| * -FasCertificateDefinition | 控制FAS用于生成证书的参数。 |
| * -FasRule | 管理联邦身份验证服务上配置的用户规则。 |
| * -FasUserCertificate | 列出并管理联邦身份验证服务缓存的证书。 |
PowerShell cmdlet可以通过指定FAS服务器的地址远程使用。
您也可以下载一个zip文件,其中包含所有FAS PowerShell cmdlet帮助文件;看到PowerShell SDK篇文章。
性能计数器
联邦身份验证服务包括一组用于负载跟踪的性能计数器。
下表列出了可用的计数器。大多数计数器的滚动平均值超过五分钟。
| 的名字 | 描述 |
|---|---|
| 活动会话 | 联邦身份验证服务跟踪的连接数。 |
| 并发csr | 同一时间处理的证书请求个数。 |
| 私钥操作 | 每分钟私钥操作次数。 |
| 请求时间 | 生成和签署证书的时间长度。 |
| 证书数 | 联邦身份验证服务中缓存的证书数。 |
| 每分钟CSR | 每分钟处理的csr数量。 |
| 低/中/高 | 以“每分钟csr”表示的联邦身份验证服务可以接受的负载估计。超过“高负载”阈值可能导致会话启动失败。 |
事件日志
下表列出了联邦身份验证服务生成的事件日志条目。
管理事件
[事件来源:Citrix.Authentication.FederatedAuthenticationService]
这些事件是在联邦身份验证服务服务器中的配置更改时记录的。
| 日志代码 |
|---|
| [S001] ACCESS DENIED:用户[{0}]不是管理员组的成员 |
| [S002] ACCESS DENIED:用户[{0}]不是角色[{1}]的管理员 |
| [S003]管理员[{0}]设置维护模式为[{1}] |
| [S004]管理员[{0}]注册CA[{1}]模板[{2}和{3}] |
| [S005]管理员[{0}]去授权CA [{1}] |
| [S006]管理员[{0}]正在创建新的证书定义[{1}] |
| [S007]管理员[{0}]正在更新证书定义[{1}] |
| [S008]管理员[{0}]删除证书定义[{1}] |
| [S009]管理员[{0}]创建新角色[{1}] |
| [S010]管理员[{0}]正在更新角色[{1}] |
| [S011]管理员[{0}]删除角色[{1}] |
| [S012] Administrator [{0}] creating certificate [upn: {0} sid: {1} role:{2}][证书定义:{3}] |
| [S013] Administrator [{0}] deleting certificates [upn: {0} role: {1} Certificate Definition: {2}] |
| 日志代码 |
|---|
| [S401]执行配置升级-[从版本{0}][到版本{1}] |
| [S402]错误:Citrix联邦身份验证服务必须作为网络服务运行[当前运行为:{0}] |
创建身份断言[联邦身份验证服务]
当可信服务器断言用户登录时,这些事件将在运行时在联邦身份验证服务服务器上记录。
| 日志代码 |
|---|
| [S101]服务器[{0}]未被授权在角色[{1}]中断言身份 |
| [S102] Server [{0}] assert UPN[{1}]失败(异常:{2}{3}) |
| [S103]服务器[{0}]请求UPN [{1}] SID{2},但查找返回SID {3} |
| [S104]服务器[{0}]断言UPN[{1}]失败(角色[{2}]不允许UPN) |
| [S105]服务器[{0}]发出的身份断言[upn:{0},角色{1},安全上下文:[{2}] |
| [S120]向[upn:{0}角色:{1}颁发证书安全背景信息:[{2}]] |
| [S121]代表帐户{2}向[upn: {0} role:{1}]签发证书 |
| [S122]警告:服务器负载过重[upn:{0}角色:{1}][每分钟请求数{2}]。 |
充当依赖方[联合身份验证服务]
当VDA登录用户时,这些事件将在运行时在联邦身份验证服务服务器上记录。
| 日志代码 |
|---|
| [S201]依赖方[{0}]无权访问密码。 |
| [S202]依赖方[{0}]没有证书访问权限。 |
| [S203]依赖方[{0}]无法访问登录CSP |
| [S204]依赖方[{0}]访问登录CSP[操作:{1}] |
| [S205]主叫帐户[{0}]不是角色[{1}]的依赖方 |
| [S206]呼叫帐号[{0}]不是依赖方 |
| [S207]依赖方[{0}]在角色中声明身份[upn: {1}]: [{2}] |
| [S208]私钥操作失败[操作:{0}][upn: {1} role: {2} certificateDefinition {3}][Error{4}{5}].[操作:{0}][upn: {1} role: {2} certificateDefinition {3}] |
会话内证书服务器[联合身份验证服务]
当用户使用会话内证书时,这些事件将记录在联邦身份验证服务服务器上。
| 日志代码 |
|---|
| [S301]拒绝访问:用户[{0}]没有访问虚拟智能卡 |
| [S302]用户[{0}]申请未知虚拟智能卡[拇指指纹:{1}] |
| [S303]用户[{0}]与虚拟智能卡[upn:{1}]不匹配 |
| [S304]用户[{1}]在[{3}]计算机上使用虚拟智能卡[upn:{4}角色:{5}]运行程序[{2}]进行私钥操作:[{6}] |
| [S305]私钥操作失败[操作:{0}][upn: {1} role: {2} containerName {3}][Error{4}{5}].[操作:{0}] |
登录[VDA]
[事件来源:Citrix.Authentication.IdentityAssertion]
这些事件在登录阶段被记录在VDA上。
| 日志代码 |
|---|
| [S101]身份断言登录失败未识别联合身份验证服务[id: {0}] |
| [S102]身份断言登录失败无法查找{0}的SID[异常:{1}{2}] |
| [S103]身份断言登录失败用户{0}的SID为{1},期望SID为{2} |
| [S104]身份断言登录失败连接联邦身份验证服务失败:{0}[错误:{1}{2}] |
| [S105]身份断言登录。登录[用户名:{0}][域:{1}] |
| [S106]身份断言登录。登录[证书:{0}] |
| [S107]身份断言登录失败(例外:{1}{2}] |
| [S108]身份断言子系统。ACCESS_DENIED [Caller: {0}] |
会话证书[VDA]
当用户试图使用会话内证书时,这些事件将记录在VDA上。
| 日志代码 |
|---|
| [S201]虚拟智能卡授权[用户:{0}][PID:{1}名称:{2}][证书{3}] |
| [S202]虚拟智能卡子系统。会话{0}中没有智能卡可用 |
| [S203]虚拟智能卡子系统。访问被拒绝[调用者:{0},会话{1},期望:{2}] |
| [S204]虚拟智能卡子系统。智能卡支持被禁用。 |
证书请求和生成代码[联合身份验证服务]
[事件来源:Citrix.]TrustFabric]
当联邦身份验证服务服务器执行日志级加密操作时,将记录这些低级事件。
| 日志代码 |
|---|
| [S0001]TrustArea::TrustArea:已安装的证书链 |
| [S0002]TrustArea::Join: Callback已授权不受信任的证书 |
| [S0003]TrustArea::Join:加入可信服务器 |
| [S0004]TrustArea::维护:更新的证书 |
| [S0005]TrustArea::维护:检索到新的证书链 |
| [S0006]TrustArea::Export:导出私钥 |
| [S0007]TrustArea::Import:导入信任区域 |
| [S0008]TrustArea::Leave:离开信任区域 |
| [S0009]TrustArea::SecurityDescriptor:设置安全描述符 |
| [S0010]CertificateVerification:安装新的可信证书 |
| [S0011]CertificateVerification:正在卸载过期的可信证书 |
| [S0012]TrustFabricHttpClient:尝试单点登录到{0} |
| [S0013]TrustFabricHttpClient:为{0}输入显式凭据 |
| [S0014]Pkcs10Request::Create:创建PKCS10请求 |
| [S0015]Pkcs10Request::Renew:创建PKCS10请求 |
| [S0016] PrivateKey::创建 |
| [S0017] PrivateKey::删除 |
| [S0018]TrustArea::TrustArea:等待审批 |
| [S0019]TrustArea::Join:延迟加入 |
| [S0020]TrustArea::Join:延迟加入 |
| [S0021]TrustArea::维护:已安装的证书链 |
| 日志代码 |
|---|
| [S0101]TrustAreaServer::创建根证书 |
| [S0102]TrustAreaServer::下级:加入成功 |
| [S0103]TrustAreaServer::PeerJoin:加入成功 |
| [S0104]MicrosoftCertificateAuthority::GetCredentials:有权使用{0} |
| [S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest Error {0} |
| [S0105]MicrosoftCertificateAuthority::SubmitCertificateRequest Issued cert {0} |
| [S0106]MicrosoftCertificateAuthority::PublishCRL:已发布的CRL |
| [S0107]MicrosoftCertificateAuthority::ReissueCertificate Error {0} |
| [S0108]MicrosoftCertificateAuthority:: reissuecercertificate已颁发证书{0} |
| [S0109]MicrosoftCertificateAuthority::CompleteCertificateRequest -仍在等待批准 |
| [S0110]MicrosoftCertificateAuthority::CompleteCertificateRequest证书被拒绝 |
| [S0111]MicrosoftCertificateAuthority::CompleteCertificateRequest颁发的证书 |
| [S0112]MicrosoftCertificateAuthority::SubmitCertificateRequest -等待批准 |
| [S0120]NativeCertificateAuthority::SubmitCertificateRequest已颁发证书{0} |
| [S0121] NativeCertificateAuthority: SubmitCertificateRequest错误 |
| [S0122]NativeCertificateAuthority::RootCARollover新建根证书 |
| [S0123]NativeCertificateAuthority:: reissuecericate新证书 |
| [S0124] NativeCertificateAuthority:: RevokeCertificate |
| [S0125] NativeCertificateAuthority:: PublishCRL |
相关信息
- 概述了常见的FAS部署联邦身份验证服务体系结构概述篇文章。
- 介绍了“如何操作”的文章Federated Authentication服务配置和管理篇文章。