1. Accueil
  2. Question et réponse
  3. Clé privée du certificat de signature de jeton d'exportation par défaut ADFS

Clé privée du certificat de signature de jeton d'exportation par défaut ADFS

2016-02-11 6 views
0

Comment puis-je exporter le certificat de signature de jeton créé lors de l'installation d'ADFS 3.0? Lorsque j'ouvre le certificat MMC, je peux voir le certificat mais le message 'Vous avez une clé privée qui correspond à ce certificat' est manquant et je suis incapable d'exporter la clé privée. Je lis dans l'article ADFS deep dive: Certificate Planning que je peux le trouver dans Active Directory dans le conteneur suivant:Clé privée du certificat de signature de jeton d'exportation par défaut ADFS

CN=ADFS,CN=Microsoft,CN=Program Data,DC=domain,DC=com

Cependant, bien que je puisse arriver à ce contenant, tout ce que je vois est un GUID à l'intérieur et je ne sais pas comment exporter la clé privée hors d'Active Directory.

Comment puis-je obtenir la clé privée?

******************************************** EDIT * ********************************************

Dans le cas où quelqu'un vient à ce plus tard, les certs sont en fait dans le magasin de certificats personnels du compte de service ADFS, mais ils ne sont pas exportables. Vous avez presque certainement besoin de la clé privée SSL cert et non de la clé privée cert token. La documentation

Je suivais pour configurer ADFS pour SharePoint était un peu déroutant. La clé privée a dû être exportée pour le certificat SSL, mais l'empreinte du certificat de signature de jeton a dû être placée dans la configuration Web. J'essayais incorrectement d'exporter la clé privée du certificat de signature de jeton.

******************************************** EDIT * ********************************************

Source

2016-02-11 grizzljt

Répondre

0

Vous voulez dire le vous êtes autosignés avec le rollover automatique?

Si oui, où les voyez-vous avec mmc?

Ils sont stockés dans une combinaison d'un conteneur AD et de la base de données ADFS.

Vous ne pouvez donc pas exporter normalement.

Pour une très bonne raison - la sécurité. Si vous avez la clé privée, vous pouvez envoyer/pirater n'importe quoi et il sera accepté comme venant d'ADFS.

La clé publique est disponible dans les métadonnées.

Si vous devez le faire, désactivez le basculement automatique et utilisez vos propres certificats.

Source

2016-02-11 21:35:55 nzpcmad

+0

Désolé pour la question stupide. Comment déchiffrez-vous le jeton si vous n'avez pas la clé privée? – grizzljt

+0

Vous n'êtes pas en train de le décrypter - vous avez demandé à propos de la signature. ADFS signe le jeton, demande ou n'importe quoi avec la clé privée. Vous vérifiez la signature avec la clé publique. – nzpcmad

+1

Si vous décryptez, cela signifie que vous avez fourni votre clé publique à ADFS pour qu'elle crypte (propriété RP) et qu'ADFS crypte le jeton SAML. Vous le décryptez ensuite en utilisant le mécanisme de décryptage standard en utilisant votre clé privée. –

 Questions connexes

  • Aucun problème connexe^_^