Produktdokumentation
Federated Authentication Service
Current Release 2402 LTSR 2311 2308 2305 2303 2212 2209 2206 2203 LTSR 1912
PDF anzeigen

Zertifizierungsstellenkonfiguration

April 28, 2026
Beitrag von: 
C C

Dieser Artikel beschreibt die erweiterte Konfiguration des Federated Authentication Service (FAS) zur Integration mit Zertifizierungsstellen-Servern (CA). Die meisten dieser Konfigurationen werden von der FAS-Verwaltungskonsole nicht unterstützt. Die Anweisungen verwenden PowerShell-APIs, die von FAS bereitgestellt werden. Sie sollten über grundlegende PowerShell-Kenntnisse verfügen, bevor Sie die Anweisungen in diesem Artikel ausführen.

Einrichten mehrerer CA-Server zur Verwendung in FAS

Sie können die FAS-Verwaltungskonsole verwenden, um FAS mit mehreren Zertifizierungsstellen zu konfigurieren, während Sie eine Regel erstellen oder bearbeiten:

Regel mit zwei Zertifizierungsstellen bearbeiten.

Alle von Ihnen ausgewählten Zertifizierungsstellen müssen die Veröffentlichung der Zertifikatvorlage Citrix_SmartcardLogon vornehmen (oder welche Vorlage Sie auch immer in Ihrer Regel gewählt haben).

Wenn eine der Zertifizierungsstellen, die Sie verwenden möchten, die gewünschte Vorlage nicht veröffentlicht, führen Sie den Schritt Einrichten einer Zertifizierungsstelle für die Zertifizierungsstelle aus.

Hinweis:

Sie müssen den Schritt Diesen Dienst autorisieren nicht für jede Zertifizierungsstelle ausführen, da das in diesem Schritt konfigurierte Autorisierungszertifikat bei jeder Ihrer Zertifizierungsstellen verwendet werden kann.

Erwartete Verhaltensänderungen

Nachdem Sie den FAS-Server mit mehreren CA-Servern konfiguriert haben, wird die Generierung von Benutzerzertifikaten auf alle konfigurierten CA-Server verteilt. Wenn einer der konfigurierten CA-Server ausfällt, wechselt der FAS-Server zu einem anderen verfügbaren CA-Server.

Konfigurieren der Microsoft-Zertifizierungsstelle für den TCP-Zugriff

FAS greift über DCOM auf die Microsoft-Zertifizierungsstelle zu. DCOM verwendet Port 135, um den Port zu ermitteln, an dem der Dienst lauscht. Standardmäßig wird der Listening-Port dynamisch zugewiesen. Dies kann zu Komplexitäten bei der Implementierung von Firewall-Sicherheit führen. Daher bietet Microsoft die Möglichkeit, einen statischen Port zu konfigurieren. Um einen statischen Port auf der Microsoft-Zertifizierungsstelle zu konfigurieren, wählen Sie Start > Ausführen > dcomcnfg.exe, um das DCOM-Konfigurationsfeld zu öffnen. Erweitern Sie Computer > Arbeitsplatz > DCOM-Konfiguration, um den Knoten „CertSrv-Anforderung“ anzuzeigen. Bearbeiten Sie dann die Eigenschaften der DCOM-Anwendung „CertSrv-Anforderung“:

lokalisiertes Bild

Ändern Sie die Endpunkte, um einen statischen Endpunkt auszuwählen und eine TCP-Portnummer anzugeben (900 in der vorhergehenden Abbildung).

In diesem Beispiel muss die Firewall Port 135 und Port 900 zulassen.

Starten Sie die Microsoft-Zertifizierungsstelle neu, um die Änderung zu übernehmen.

Es ist nicht erforderlich, den FAS-Server (oder andere Maschinen, die die Zertifizierungsstelle verwenden) zu konfigurieren, da DCOM eine Aushandlungsphase über den RPC-Port 135 hat. Wenn ein Client DCOM verwenden muss, verbindet er sich mit dem DCOM-RPC-Dienst auf dem Server und fordert Zugriff auf einen bestimmten DCOM-Server an. Dies führt dazu, dass Port 900 (in diesem Beispiel) geöffnet wird, und der DCOM-Server den Client anweist, sich mit diesem Port zu verbinden.

Benutzerzertifikate vorab generieren

Die Anmeldezeit für Benutzer wird sich erheblich verbessern, wenn Benutzerzertifikate innerhalb des FAS-Servers vorab generiert werden. Die folgenden Abschnitte beschreiben, wie dies geschehen kann, entweder für einzelne oder mehrere FAS-Server.

Abrufen einer Liste von Active Directory-Benutzern

Sie können die Zertifikatgenerierung verbessern, indem Sie das AD abfragen und die Liste der Benutzer in einer Datei (z. B. einer .csv-Datei) speichern, wie im folgenden Beispiel gezeigt.

Import-Module ActiveDirectory

$searchbase = "cn=users,dc=bvt,dc=local" # AD User Base to Look for Users, leave it blank to search all
$filename = "user_list.csv" # Filename to save

if ($searchbase -ne ""){
    Get-ADUser -Filter {(UserPrincipalName -ne "null") -and (Enabled -eq "true")} -SearchBase $searchbase -Properties UserPrincipalName | Select UserPrincipalName | Export-Csv -NoTypeInformation -Encoding utf8 -delimiter "," $filename
} else {
    Get-ADUser -Filter {(UserPrincipalName -ne "null") -and (Enabled -eq "true")} -Properties UserPrincipalName | Select UserPrincipalName | Export-Csv -NoTypeInformation -Encoding utf8 -delimiter "," $filename
}
<!--NeedCopy-->

Get-ADUser ist ein Standard-Cmdlet, um eine Liste von Benutzern abzufragen. Das obige Beispiel enthält ein Filterargument, um nur Benutzer mit einem UserPrincipalName und einem Kontostatus von ‘enabled’ aufzulisten.

Das Argument SearchBase schränkt ein, welcher Teil des AD nach Benutzern durchsucht werden soll. Sie können dies weglassen, wenn Sie alle Benutzer im AD einschließen möchten. Hinweis: Diese Abfrage kann eine große Anzahl von Benutzern zurückgeben.

Die CSV-Datei sieht etwa so aus:

lokalisiertes Bild

FAS-Server

Das folgende PowerShell-Skript nimmt die zuvor generierte Benutzerliste und erstellt eine Liste von Benutzerzertifikaten.

Add-PSSnapin Citrix.A*
$csv = "user_list.csv"
$rule = "default" # rule/role in your admin console
$users = Import-Csv -encoding utf8 $csv
-  foreach ( $user in $users )
-  {
-  $server = Get-FasServerForUser -UserPrincipalNames $user.UserPrincipalName
    if( $server.Server -ne $NULL) {
        New-FasUserCertificate -Address $server.Server -UserPrincipalName $user.UserPrincipalName -CertificateDefinition $rule"_Definition" -Rule $rule
    }
    if( $server.Failover -ne $NULL) {
        New-FasUserCertificate -Address $server.Failover -UserPrincipalName $user.UserPrincipalName -CertificateDefinition $rule"_Definition" -Rule $rule
    }
}
<!--NeedCopy-->

Wenn Sie mehr als einen FAS-Server haben, wird das Zertifikat eines bestimmten Benutzers zweimal generiert: einmal auf dem Hauptserver und einmal auf dem Failover-Server.

Das obige Skript ist für eine Regel namens ‘default’ ausgelegt. Wenn Sie einen anderen Regelnamen haben (z. B. ‘hello’), ändern Sie einfach die Variable $rule im Skript.

lokalisiertes Bild

Registrierungsstellenzertifikate erneuern

Wenn mehr als ein FAS-Server verwendet wird, können Sie ein FAS-Autorisierungszertifikat erneuern, ohne angemeldete Benutzer zu beeinträchtigen.

Hinweis:

Sie können FAS auch über die GUI erneut autorisieren:

lokalisiertes Bild

Führen Sie die folgende Sequenz aus:

  1. Erstellen Sie ein neues Autorisierungszertifikat: New-FasAuthorizationCertificate

  2. Notieren Sie die GUID des neuen Autorisierungszertifikats, wie zurückgegeben von: Get-FasAuthorizationCertificate

  3. Versetzen Sie den FAS-Server in den Wartungsmodus: Set-FasServer –Address <FAS server> -MaintenanceMode $true

  4. Tauschen Sie das neue Autorisierungszertifikat aus: Set-FasCertificateDefinition –AuthorizationCertificate <GUID>

  5. Nehmen Sie den FAS-Server aus dem Wartungsmodus: Set-FasServer –Address <FAS server> -MaintenanceMode $false

  6. Löschen Sie das alte Autorisierungszertifikat: Remove-FasAuthorizationCertificate

Zugehörige Informationen

  1. Der Artikel Installieren und Konfigurieren ist die primäre Referenz für die FAS-Installation und -Konfiguration.
  2. Die gängigen Bereitstellungen des Federated Authentication Service sind im Artikel Bereitstellungsarchitekturen zusammengefasst.
  3. Weitere “How-to”-Artikel werden im Artikel Erweiterte Konfiguration vorgestellt.
Zertifizierungsstellenkonfiguration
April 28, 2026
Beitrag von: 
C C
April 28, 2026
Beitrag von: 
C C

In diesem Artikel

Feedback zur Site | Your privacy choices footer linkIhre Datenschutzauswahl | Datenschutz und rechtliche Bestimmungen | Cookie-Einstellungen | Einstellungen für die Zustimmung | docs.cloud.com
© 1999- Cloud Software Group, Inc. All rights reserved.