联合身份验证服务
Citrix联合身份验证服务是一个特权组件,可与您的Active Directory证书服务集成。它动态地为用户颁发证书,以便用户能够登录到活动目录环境,就如同他们具有智能卡一样。这使得店面能够使用范围更广的身份验证选项,例如SAML(安全声明标记语言)声明。SAML常用于替代Internet上的传统Windows用户帐户。
下图显示了联合身份验证服务与微软证书颁发机构集成,并向店面、XenApp和XenDesktop虚拟投递代理(VDA)提供支持服务。
当用户请求访问Citrix环境时,可信店面服务器会联系联合身份验证服务(FAS)。FAS将授予一个票据,允许单个XenApp或XenDesktop会话使用该会话的证书进行身份验证。当vda需要对用户进行身份验证时,它会连接到fas并找回票据。仅FAS有权访问用户证书的私钥;VDA必须发送每个签名和解密操作(它需要使用证书对FAS执行此操作)。
要求
联合身份验证服务支持Windows服务器(Windows Server 2008 R2或更高版本)。
- Citrix建议在不包含其他Citrix组件的服务器上安装FAS。
- Windows服务器应受到保护。它将有权访问注册机构的证书和私钥,使其能够自动为域用户颁发证书,并将有权访问这些用户证书和私钥。
- FASPowerShell SDK需要在FAS服务器上安装Windows PowerShell 64位。
- 要求微软企业证书颁发机构颁发用户证书。
在XenApp或XenDesktop站点中:
- 交付控制器的版本必须至少为7.15。
- Vda的版本必须至少为7.15。在以通常方式创建计算机目录之前,确认已向VDA正确应用联合身份验证服务组策略配置;请参阅”配置组策略”部分了解详细信息。
- 店面服务器的版本必须至少为3.12(这是随XenApp和XenDesktop 7.15 ISO提供的版本)。
在规划此服务的部署时,请查看安全注意事项部分。
参考:
- Active Directory证书服务
- 配置Windows的登录证书
https://support.citrix.com/article/CTX206156
安装和设置过程
- 安装联合身份验证服务
- 在StoreFront服务器上启用"联合身份验证服务"插件
- 配置组策略
- 使用"联合身份验证服务"管理控制台执行以下操作:(a)部署所提供的模板, (b)设置证书颁发机构,以及(c)授权联合身份验证服务使用您的证书颁发机构
- 配置用户规则
安装联合身份验证服务
出于安全考虑,Citrix建议将FAS安装在专用服务器上,并且此服务器应受到与域控制器或证书颁发机构类似的保护。可通过插入iso时所显示的自动运行初始屏幕上的联合身份验证服务按钮安装fas。
将安装以下组件:
- 联合身份验证服务
- PowerShell管理单元cmdlet以用于远程配置联合身份验证服务
- 联合身份验证服务管理控制台
- 联合身份验证服务组策略模板(CitrixFederatedAuthenticationService.admx/adml)
- 用于简单证书颁发机构配置的证书模板文件
- 性能计数器和事件日志
在StoreFront应用商店上启用联合身份验证服务插件
要在店面店上启用联合身份验证服务集成,请使用管理员帐户运行以下PowerShell cmdlet。如果您具有一个以上的店面,或者如果应用商店具有不同的名称,则下方的路径文本可能会有所不同。
“获取模块”Citrix.StoreFront。*" -ListAvailable | Import-Module $StoreVirtualPath = "/Citrix/Store" $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory" Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider" ```要停止使用FAS,请使用以下PowerShell脚本:
“获取模块”Citrix.StoreFront。*" -ListAvailable | Import-Module $StoreVirtualPath = "/Citrix/Store" $store = Get-STFStoreService -VirtualPath $StoreVirtualPath $auth = Get-STFAuthenticationService -StoreService $store Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory" Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "" ```配置交付控制器
要使用联合身份验证服务,请配置XenApp或XenDesktop交付控制器以信任可与其连接的店面服务器:运行Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $truePowerShell cmdlet。
配置组策略
在安装联合身份验证服务后,必须使用安装中提供的组策略模板指定组策略中的FAS服务器的完整DNS地址。
重要:确保请求票据的店面服务器和找回票据的两具有相同的DNS地址配置,包括通过组策略对象应用的服务器自动编的号。
为简单起见,以下示例在域级别配置单个策略以应用于所有计算机;但是,这并不是必需的。只要店面服务器,VDA以及正在运行FAS管理控制台的计算机查看到相同确定DNS地址列表,FAS即可正常工作。请注意,组策略对象会向每一项添加一个索引号。如果使用多个对象,则索引号也必须匹配。
步骤 1.在安装了FAS的服务器上,找到C:\Program Files\Citrix\Federated认证服务\PolicyDefinitions\CitrixFederatedAuthenticationService。admx文件和en-US文件夹。
步骤 2.将这些内容复制到您的域控制器,并将其放置在C:\Windows\ PolicyDefinitions和en - us子文件夹中。
步骤 3.运行微软管理控制台(在命令行中运行mmc.exe)。从菜单栏中选择文件 > 添加/删除管理单元。添加组策略管理编辑器。
当提示输入组策略对象时,选择浏览,然后选择默认域策略。或者,也可以使用您选择的工具为环境创建并选择相应策略对象。必须向运行相关Citrix软件(vda,店面服务器、管理工具)的所有计算机应用策略。
步骤 4.导航到位于"计算机配置/策略/管理模板/Citrix组件/身份验证"下的联合身份验证服务策略。
步骤 5.打开“联合身份验证服务”策略,并选择启用。这将允许您选择显示按钮,然后配置fas服务器的DNS地址。
步骤 6.输入用于托管联合身份验证服务的服务器的DNS地址。
谨记:如果您输入多个地址,则列表的顺序必须在StoreFront服务器和VDA之间一致。这包括空白或未使用的列表条目。
步骤 7.单击确定退出“组策略”向导并应用所执行的组策略更改。您可能需要重新启动计算机(或在命令行中运行gpupdate /力)以使更改生效。
启用会话中证书支持和锁定时断开连接
会话中证书支持
在“组策略”模板中,可为系统配置会话中证书。这样,会在登录后将证书放置在用户的个人证书存储中,以供应用程序使用。例如,如果您需要在VDA会话中对Web服务器执行TLS身份验证,则可通过Internet Explorer使用证书。默认情况下,vda将不允许在登录后访问证书。
锁定时断开连接
如果启用此策略,则当用户锁定屏幕时,用户的会话将自动断开连接。此功能提供了类似于“移除智能卡时断开连接“策略的行为,并且对于用户没有Active Directory登录凭据的情况非常有用。
注意:
锁定时断开连接策略适用于vda上的所有会话。
使用联合身份验证服务管理控制台
联合身份验证服务管理控制台作为联合身份验证服务的一部分安装。将在"开始"菜单中显示一个图标(Citrix联合身份验证服务)。
控制台会尝试使用组策略配置来自动查找环境中的fas服务器。如果失败,请参阅配置组策略部分。
如果您的用户帐户不属于正在运行联合身份验证服务的计算机上的管理员组,则会提示您输入凭据。
在第一次使用管理控制台时,它会引导您完成三个步骤,用于部署证书模板、设置证书颁发机构以及授权联合身份验证服务使用此证书颁发机构。也可以使用操作系统配置工具手动完成其中一些步骤。
部署证书模板
为了避免发生与其他软件的互操作性问题,联合身份验证服务提供了三个Citrix证书模板以供其自己使用。
- Citrix_RegistrationAuthority_ManualAuthorization
- Citrix_RegistrationAuthority
- Citrix_SmartcardLogon
必须向活动目录注册这些模板。如果控制台无法找到它们,部署证书模板工具可以安装它们。必须以有权管理您的企业林的帐户来运行此工具。
可在随联合身份验证服务安装的XML文件(具有.certificatetemplate扩展名)中找到模板配置:
C:\Program Files\Citrix\Federated认证服务\CertificateTemplates
如果无权安装这些模板文件,请将其提供给您的活动目录管理员。
要手动安装这些模板,可以使用下面的PowerShell命令:
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate") $CertEnrol = New-Object -ComObject X509Enrollment。CX509EnrollmentPolicyWebService $CertEnrol.InitializeImport($template) $comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0) $writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable $writabletemplate.Initialize($comtemplate) $writabletemplate.Commit(1, $NULL) ```设置活动目录证书服务
安装Citrix证书模板后,必须在一个或多个微软证书颁发机构服务器中发布它们。请参阅有关如何部署活动目录证书服务的微软文档。
如果未至少在一台服务器上发布模板,则设置证书颁发机构工具将主动发布它们。您必须以有权管理证书颁发机构的用户身份运行此工具。
(也可以使用Microsoft证书颁发机构控制台发布证书模板。)
授权联合身份验证服务
在控制台中执行的最后一个设置步骤将启动对联合身份验证服务的授权。管理控制台使用Citrix_RegistrationAuthority_ManualAuthorization模板生成一个证书请求,然后将其发送到用于发布该模板的证书颁发机构之一。
在发送请求后,该请求将出现在微软证书颁发机构控制台的挂起的请求列表中。证书颁发机构管理员必须选择颁发或拒绝请求,然后才能继续配置联合身份验证服务。请注意,授权请求将显示为来自fas计算机帐户的挂起的请求。
右键单击所有任务,然后选择颁发或拒绝证书请求。联合身份验证服务管理控制台会自动检测此过程的完成时间。这可能需要几分钟的时间。
配置用户规则
用户规则将按StoreFront的指令来授权颁发用于在登录VDA时及会话中使用的证书。每个规则将指定受信任请求证书的店面服务器,这些服务器可以请求的用户集,以及可使用它们的共识计算机集。
要完成联合身份验证服务的设置,管理员必须通过以下操作来定义默认规则:切换到FAS管理控制台的“用户规则“选项卡,选择将向其发布Citrix_SmartcardLogon模板的证书颁发机构,并编辑店面服务器列表。Vda列表默认为“域计算机”,用户列表默认为“域用户”列表;如果默认值不适当,可以更改这些值。
字段:
证书颁发机构和证书模板:将用于颁发用户证书的证书模板和证书颁发机构。在向其发布模板的其中一个证书颁发机构上,这应该是Citrix_SmartcardLogon模板,或此模板的经修改的副本。
FAS支持使用PowerShell命令添加多个证书颁发机构以用于故障转移和负载平衡。同样地,也可以使用命令行和配置文件配置更高级的证书生成选项。请参阅PowerShell和硬件安全模块部分。
在会话证书(会话中证书):登录后可用(登录后可用)复选框可控制是否同时将证书用作会话中证书。如果不选中此复选框,则只会将证书用于登录或重新连接过程,并且用户将无法在身份验证后访问证书。
可以使用此规则的StoreFront服务器列表(可以使用此规则的店面服务器的列表):被授权请求用于用户登录或重新连接过程的证书的可信店面服务器计算机的列的表。请注意,此设置对于安全性至关重要,因此必须谨慎地加以管理。
可按此规则登录的VDA桌面和服务器列表(可通过此角色登录到的两桌面和服务器的列表):可通过使用联合身份验证服务系统让用户登录的VDA计算机的列的表。
StoreFront可以使用此规则登录的用户列表(店面可通过使用此规则让其登录的用户的列表):可通过联合身份验证服务为其颁发证书的用户的列的表。
高级用法
可以创建其他规则来引用不同的证书模板和颁发机构。可为它们配置不同的属性和权限。这些规则可配置为由不同的店面服务器(将需要对其进行配置以便按名称请求新规则)使用。默认情况下,在联系联合身份验证服务时,StoreFront会请求默认设置。可以通过使用“组策略配置”选项对其进行更改。
要创建新证书模板,请在微软证书颁发机构控制台中复制Citrix_SmartcardLogon模板,将其重命名(例如Citrix_SmartcardLogon2),并根据需要进行修改。通过单击添加引用新证书模板来创建新用户规则。
升级注意事项
- 执行原位升级时,将保留所有联合身份验证服务服务器设置。
- 请通过运行XenApp和XenDesktop的完整产品安装程序来升级联合身份验证服务。
- 在将联合身份验证服务从7.15 LTSR升级到7.15 LTSR忍耐力(或支持的更高铜)之前,请将控制器和共识(以及其他核心组件)升级到所需版本。
- 请务必先关闭联合身份验证服务控制台,然后再升级联合身份验证服务。
- 请确保至少一个联合身份验证服务服务器始终可用。如果启用了联合身份验证服务的 StoreFront 服务器无法访问任何服务器,用户将无法登录或启动应用程序。
安全注意事项
联合身份验证服务具有注册机构证书,允许它代表您的域用户自主颁发证书。因此,必须制定并实施安全策略来保护fas服务器,并限制它们的权限。
委派注册代理
Fas充当注册代理来颁发用户证书。微软证书颁发机构可以控制可由FAS服务器使用的模板,以及限制FAS服务器可为其颁发证书的用户。
Citrix强烈建议配置这些选项,以便联合身份验证服务只能为目标用户颁发证书。例如,建议阻止联合身份验证服务向政府或受保护用户组中的用户颁发证书。
访问控制列表配置
如配置用户规则部分中所述,您必须配置可信店面服务器的列表证书,以便在颁发证书时向联合身份验证服务声明用户身份。同样,您可以限制将为其颁发证书的用户,以及用户可向其进行身份验证的vda计算机。这是对您配置的任何标准活动目录或证书颁发机构安全功能的补充。
防火墙设置
与FAS服务器的所有通信均通过端口80年以相互身份验证的Windows Communication Foundation (WCF) Kerberos网络连接。
事件日志监视
联合身份验证服务和VDA会将信息写入Windows事件日志。此信息可以用于监视和审核信息。事件日志部分列出了可生成的事件日志条目。
硬件安全模块
所有私钥,包括由联合身份验证服务颁发的用户证书的私钥,均通过网络服务帐户存储为不可导出的私钥。联合身份验证服务支持使用加密硬件安全模块(如果您的安全策略需要此模块)。
在FederatedAuthenticationService.exe.config文件中提供了低级别的加密配置。当首次创建私钥时,将应用这些设置。因此,可将不同的设置用于注册机构私钥(例如,4096位,受TPM保护)和运行时用户证书。
| 参数 | 说明 |
|---|---|
| ProviderLegacyCsp | 当设置为true时,FAS将使用微软加密api (CAPI)。否则,FAS将使用Microsoft Cryptography Next Generation API (CNG)。 |
| ProviderName | 要使用的capi或CNG提供程序的名称。 |
| ProviderType | 请参阅Microsoft KeyContainerPermissionAccessEntry。ProviderType属性PROV_RSA_AES应该始终为24、除非您使用capi与HSM并且HSM提供商另有规定。 |
| KeyProtection | 控制私钥的“可导出”标志。如果硬件支持,还允许使用受信任的平台模块(tpm)密钥存储。 |
| KeyLength | Rsa私钥的密钥长度。支持的值包括 1024、2048 和 4096(默认值:2048)。 |
PowerShell SDK
虽然联合身份验证服务管理控制台适用于简单部署,但是PowerShell界面提供了更高级选项。当您要使用在控制台中不可用的选项时,Citrix建议仅使用PowerShell执行配置。
以下命令将添加PowerShell cmdlet:
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
使用得到帮助<cmdlet名字>显示cmdlet帮助信息。下表列出了几个命令,其中*表示标准PowerShell谓词(例如新建,获取,设置,删除)。
| 命令 | 概述 |
|---|---|
| * -FasServer | 列出并重新配置当前环境中的fas服务器。 |
| * -FasAuthorizationCertificate | 管理“注册机构”证书。 |
| * -FasCertificateDefinition | 控制由fas用于生成证书的参数。 |
| * -FasRule | 管理在联合身份验证服务中配置的用户规则。 |
| * -FasUserCertificate | 列出并管理由联合身份验证服务缓存的证书。 |
可通过指定FAS服务器地址来远程使用PowerShell cmdlet。
您也可以下载其中包含所有FAS PowerShell cmdlet帮助文件的zip文件。请参阅PowerShell SDK一文。
性能计数器
联合身份验证服务包括一组用于跟踪负载的性能计数器。
下表列出了可用的计数器。大多数计数器会在五分钟后滚动平均值。
| 名称 | 说明 |
|---|---|
| 活动会话 | 由联合身份验证服务跟踪的连接数。 |
| 并发CSR | 在同一时间处理的证书申请数。 |
| 私钥ops | 每分钟执行的私钥操作数。 |
| 请求时间 | 生成并签署证书所用的时间长度。 |
| 证书计数 | 在联合身份验证服务中缓存的证书数量。 |
| 每分钟的CSR | 每分钟处理的CSR数。 |
| 低/中/高 | 以"每分钟CSR数"为依据估算联合身份验证服务可接受的负载。如果超过“高负载”阈值,可能会导致会话启动失败。 |
事件日志
以下各表列出了由联合身份验证服务生成的事件日志条目。
管理事件
[事件来源:Citrix.Authentication.FederatedAuthenticationService]
将记录这些事件,以响应联合身份验证服务服务器的配置变化。
| 日志代码 |
|---|
| [S001] ACCESS DENIED:用户[{0}]不是管理员组的成员 |
| [S002] ACCESS DENIED:用户[{0}]不是角色[{1}]的管理员 |
| [S003]管理员[{0}]设置维护模式为[{1}] |
| [S004]管理员[{0}]注册CA[{1}]模板[{2}和{3}] |
| [S005]管理员[{0}]去授权CA [{1}] |
| [S006]管理员[{0}]正在创建新的证书定义[{1}] |
| [S007]管理员[{0}]正在更新证书定义[{1}] |
| [S008]管理员[{0}]删除证书定义[{1}] |
| [S009]管理员[{0}]创建新角色[{1}] |
| [S010]管理员[{0}]正在更新角色[{1}] |
| [S011]管理员[{0}]删除角色[{1}] |
| [S012] Administrator [{0}] creating certificate [upn: {0} sid: {1} role:{2}][证书定义:{3}] |
| [S013] Administrator [{0}] deleting certificates [upn: {0} role: {1} Certificate Definition: {2}] |
| 日志代码 |
|---|
| [S401]执行配置升级-[从版本{0}][到版本{1}] |
| [S402]错误:Citrix联邦身份验证服务必须作为网络服务运行[当前运行为:{0}] |
创建身份声明 [联合身份验证服务]
在运行期间,当可信服务器声明用户登录时,将在联合身份验证服务服务器上记录这些事件。
| 日志代码 |
|---|
| [S101]服务器[{0}]未被授权在角色[{1}]中断言身份 |
| [S102] Server [{0}] assert UPN[{1}]失败(异常:{2}{3}) |
| [S103]服务器[{0}]请求UPN [{1}] SID{2},但查找返回SID {3} |
| [S104]服务器[{0}]断言UPN[{1}]失败(角色[{2}]不允许UPN) |
| [S105]服务器[{0}]发出的身份断言[upn:{0},角色{1},安全上下文:[{2}] |
| [S120]向[upn:{0}角色:{1}颁发证书安全背景信息:[{2}]] |
| [S121]代表帐户{2}向[upn: {0} role:{1}]签发证书 |
| [S122]警告:服务器负载过重[upn:{0}角色:{1}][每分钟请求数{2}]。 |
作为信赖方 [联合身份验证服务]
Vda将用户登录时,这些事件将在运行时记录在联合身份验证服务服务器上。
| 日志代码 |
|---|
| [S201]依赖方[{0}]无权访问密码。 |
| [S202]依赖方[{0}]没有证书访问权限。 |
| [S203]依赖方[{0}]无法访问登录CSP |
| [S204]依赖方[{0}]访问登录CSP[操作:{1}] |
| [S205]主叫帐户[{0}]不是角色[{1}]的依赖方 |
| [S206]呼叫帐号[{0}]不是依赖方 |
| [S207]依赖方[{0}]在角色中声明身份[upn: {1}]: [{2}] |
| [S208]私钥操作失败[操作:{0}][upn: {1} role: {2} certificateDefinition {3}][Error{4}{5}].[操作:{0}][upn: {1} role: {2} certificateDefinition {3}] |
会话中证书服务器 [联合身份验证服务]
当用户使用会话中证书时,会在联合身份验证服务服务器上记录这些事件。
| 日志代码 |
|---|
| [S301]拒绝访问:用户[{0}]没有访问虚拟智能卡 |
| [S302]用户[{0}]申请未知虚拟智能卡[拇指指纹:{1}] |
| [S303]用户[{0}]与虚拟智能卡[upn:{1}]不匹配 |
| [S304]用户[{1}]在[{3}]计算机上使用虚拟智能卡[upn:{4}角色:{5}]运行程序[{2}]进行私钥操作:[{6}] |
| [S305]私钥操作失败[操作:{0}][upn: {1} role: {2} containerName {3}][Error{4}{5}].[操作:{0}] |
登录[vda]
[事件来源:Citrix.Authentication.IdentityAssertion]
在登录阶段会在vda上记录这些事件。
| 日志代码 |
|---|
| [S101]身份断言登录失败未识别联合身份验证服务[id: {0}] |
| [S102]身份断言登录失败无法查找{0}的SID[异常:{1}{2}] |
| [S103]身份断言登录失败用户{0}的SID为{1},期望SID为{2} |
| [S104]身份断言登录失败连接联邦身份验证服务失败:{0}[错误:{1}{2}] |
| [S105]身份断言登录。登录[用户名:{0}][域:{1}] |
| [S106]身份断言登录。登录[证书:{0}] |
| [S107]身份断言登录失败(例外:{1}{2}] |
| [S108]身份断言子系统。ACCESS_DENIED [Caller: {0}] |
会话中证书[vda]
当用户尝试使用会话中证书时,会在vda上记录这些事件。
| 日志代码 |
|---|
| [S201]虚拟智能卡授权[用户:{0}][PID:{1}名称:{2}][证书{3}] |
| [S202]虚拟智能卡子系统。会话{0}中没有智能卡可用 |
| [S203]虚拟智能卡子系统。访问被拒绝[调用者:{0},会话{1},期望:{2}] |
| [S204]虚拟智能卡子系统。智能卡支持被禁用。 |
证书请求和生成代码 [联合身份验证服务]
[事件来源:Citrix.]TrustFabric]
当联合身份验证服务服务器执行日志级别的加密操作时,会记录这些低级别事件。
| 日志代码 |
|---|
| [S0001]TrustArea::TrustArea:已安装的证书链 |
| [S0002]TrustArea::Join: Callback已授权不受信任的证书 |
| [S0003]TrustArea::Join:加入可信服务器 |
| [S0004]TrustArea::维护:更新的证书 |
| [S0005]TrustArea::维护:检索到新的证书链 |
| [S0006]TrustArea::Export:导出私钥 |
| [S0007]TrustArea::Import:导入信任区域 |
| [S0008]TrustArea::Leave:离开信任区域 |
| [S0009]TrustArea::SecurityDescriptor:设置安全描述符 |
| [S0010]CertificateVerification:安装新的可信证书 |
| [S0011]CertificateVerification:正在卸载过期的可信证书 |
| [S0012]TrustFabricHttpClient:尝试单点登录到{0} |
| [S0013]TrustFabricHttpClient:为{0}输入显式凭据 |
| [S0014]Pkcs10Request::Create:创建PKCS10请求 |
| [S0015]Pkcs10Request::Renew:创建PKCS10请求 |
| [S0016] PrivateKey::创建 |
| [S0017] PrivateKey::删除 |
| [S0018]TrustArea::TrustArea:等待审批 |
| [S0019]TrustArea::Join:延迟加入 |
| [S0020]TrustArea::Join:延迟加入 |
| [S0021]TrustArea::维护:已安装的证书链 |
| 日志代码 |
|---|
| [S0101]TrustAreaServer::创建根证书 |
| [S0102]TrustAreaServer::下级:加入成功 |
| [S0103]TrustAreaServer::PeerJoin:加入成功 |
| [S0104]MicrosoftCertificateAuthority::GetCredentials:有权使用{0} |
| [S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest Error {0} |
| [S0105]MicrosoftCertificateAuthority::SubmitCertificateRequest Issued cert {0} |
| [S0106]MicrosoftCertificateAuthority::PublishCRL:已发布的CRL |
| [S0107]MicrosoftCertificateAuthority::ReissueCertificate Error {0} |
| [S0108]MicrosoftCertificateAuthority:: reissuecercertificate已颁发证书{0} |
| [S0109]MicrosoftCertificateAuthority::CompleteCertificateRequest -仍在等待批准 |
| [S0110]MicrosoftCertificateAuthority::CompleteCertificateRequest证书被拒绝 |
| [S0111]MicrosoftCertificateAuthority::CompleteCertificateRequest颁发的证书 |
| [S0112]MicrosoftCertificateAuthority::SubmitCertificateRequest -等待批准 |
| [S0120]NativeCertificateAuthority::SubmitCertificateRequest已颁发证书{0} |
| [S0121] NativeCertificateAuthority: SubmitCertificateRequest错误 |
| [S0122]NativeCertificateAuthority::RootCARollover新建根证书 |
| [S0123]NativeCertificateAuthority:: reissuecericate新证书 |
| [S0124] NativeCertificateAuthority:: RevokeCertificate |
| [S0125] NativeCertificateAuthority:: PublishCRL |
相关信息
- 通用fas部署在联合身份验证服务体系结构概述一文中加以概括。
- 联合身份验证服务配置和管理一文介绍了“方法”文章。