配置'autorité认证

Cet article décrit la configuration avancée du Service d’authentication fédérée (FAS) pour l 'intégration avec les servers d 'autorité de certification (CA)。这些配置的多部分不应在管理控制台FAS中收费。Les指令使用Les API PowerShell fournies FAS。您可以根据本文章的说明来确定您的基础。

Définir plusieurs servers d 'autorité de certification à utiliser dans FAS

您可以使用控制台管理，FAS配置，FAS和plusieurs autorités的认证，création的修改，règle:

Toutes les autorités de certification sélectionnées doivent puber le modèle de certificat Citrix_SmartcardLogon(您可以modèle，您可以选择dans votre règle)。

Si l'Une desautoritésde认证qu​​evous souhaitez uteriser ne Publie Pas LeModèleSouhaité，EppertifuezL'Étape配置用户une autorité de认证Pour l 'autorité de认证。

近马雷：

你不需要效应器étapeAutoriser ce服务Pour chaque autorité de certification, car le certificate d 'autorisation configuré dans cette étape peut être utilisé dans n ' import laquelle de vos autorités de certification。

行为的变化也随之而来

UNE FOIS Que Vous AvezConfiguréLE服务Fas Avec DeCompryserseD'AutoritéDe认证，LaGénérationDe认证Utilisateur Est Distriation LesD'AutoritéDe认证Configurés。DE PLUS，SI L'UN DEREERINGS D'Autoritéde认证ConfigurésÉchoue，Le Sityur Fas Bascule Vers Un Autre ServicurD'AutoritéDe认证势密。

配置器'autorité de certification Microsoft pour l 'accès TCP

Par défaut, l 'autorité de certification Microsoft utilise DCOM pour l 'accès。Cela peut compique en place and 'un parre -feu sécurité， par conséquent Microsoft permet le basculement vers一个端口TCP静态。在'autorité de certification Microsoft, ouvrez le panneau de configuration de DCOM et modifiez les propriétés de l 'application«CertSrv DCOM»:

修改点确定(端点)为sélectionner静态点确定和spécifiez un numéro端口TCP (900 dans l’dessus)。

Redémarrezl'autoritéde认证Microsoft et Envoyez Une Desighte De Certificat。Si VousExécutebez.Netstat -a -n -b，您可以到écoute désormais 900号港口:

它不是nécessaire配置服务器FAS(您可以使用完整的机器'autorité认证)，汽车DCOM一个étape de négociation使用端口RPC。当客户端使用DCOM时，它将在证书服务器上连接DCOM RPC服务，并特别要求'accès à一个服务器DCOM。Cela déclenche端口为900，服务器DCOM与服务器FAS连接。

Pré-générerles creastats unserisateur

LaDuréed'OuvertureDe会话倒入Les UtiliSateurs PaturementS'améliorerLetorqueLQuareLessquerats unserateursontpré-générésdanslesityur fas。Les SectivantesDécrivent评论YProcéder，倾倒UN ou Placieurs Fas。

获取一个使用目录列表

您可以下载améliorer la génération在查询时的证书，并在文件中列出使用文件者(例如，文件者。csv)，下载illustré在文件中。

导入模块activirectory $ semplebbase =“cn =用户，dc = bvt，dc = local”#ad用户基数要查找用户，请将其留空以搜索所有$ filename =“user_list.csv”＃文件名以保存（$SearchBase -Ne“”）{get-aduser -filter {（userprincipalname -ne“null”null“）-and（启用-eq”true“）} -searchbase $ searchbase -properties userprincipalname |选择userprincipalname |导出-csv -notypeinformation  -  ododing utf8 -delimiter“，$ filename} else {get-aduser -filter {（userprincipalname -ne”null“null”）-and（启用-eq“true”）} -properties userprincipalname |选择userprincipalname |导出-csv -notypeinformation -encoding utf8 -delimiter“，$ filename} <！ -  caltcopy  - >

Get-ADUser是一个用于访问requête列表的应用程序。例如，输入大洲的一个参数包括用户principal name和état de compte«activé»的唯一使用对象。

L 'argument SearchBase spécifie la party d 'Active Directory dans laquelle rechercher des utilisateurs。如果您想让我们使用présents的活动目录，您可以忽略这个选项。再注:这个requête我们可以向您介绍一大批的使用大师。

Le ficier CSV类似于à l’example ci-dessous:

服务Fas

脚本PowerShell utilise la list d 'utilisateurs générée et crée une list de certificats utilisateur。

Add-PSSnapin Citrix。$user = Import-Csv -encoding utf8 $csv foreach ($user in $users) {$server = Get-FasServerForUser -UserPrincipalNames $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user. $user。UserPrincipalName if($服务器。Server -ne $NULL) {New-FasUserCertificate -Address $ Server . net}。服务器-UserPrincipalName $ user。UserPrincipalName -CertificateDefinition $rule"_Definition" -Rule $rule}Failover -ne $NULL) {New-FasUserCertificate -Address $server. cfg . cfg . cfg . cfg . cfg。故障转移-UserPrincipalName $ user。UserPrincipalName -CertificateDefinition $rule"_Definition" -Rule $rule}} 

如果您向其他的服务员提供FAS，那么特别的使用证明是généré，两个:一个是主服务员的，另一个是主服务员的。

Le script cis -dessus inclut une règle«default»。如果您能输入règle portte un autre nom(例如，«hello»)，您就可以在脚本中使用变量$rule的修饰语。

Renouveler Les Certificats d'autoritéd'题字

如果您的服务是FAS sont utilisés，您可以重新获得一份FAS授权证书，但不影响用户connectés。

近马雷：

Vous pouvez également utiliser l 'interface graphic pour réautoriser FAS:

Effectuez la procédure suivante dans l 'ordre indiqué:

1. Créer联合国Nouveau证书D'Autorisation：New-FasAuthorizationCertificate

2. Noter le GUID du nouveau certificat d ' authorisation, renvoyé par:Get-FasAuthorizationCertificate

3. PANERER LE Sityur FAS EN模式DE维护：Set-FasServer -Address -MaintenanceMode $true

4. 换句者Le Nouveau证书D'autorisation：Set-FasCertificateDefinition -AuthorizationCertificate < GUID >

5. 维修模式:设置- fasserver -Address -MaintenanceMode $false

6. supprimer l'ancien certifatation d'autorisation：删除 - FasauthorizationCertificate.

信息连通

• L 'article安装程序等配置Est Le DocumentdeRéférence校长obtenir des信息sur l'stallication et la configuration de fas。
• 我们的文章是décrits FAS架构de deploiement．
• D'Autres文章«Pratiques»Sont Dixonibles Dans L'文章配置avancee．