Tähtivarmenteen käyttö AD FS -palvelussa

6.5.2016, 09:57 in Android, iOS, Kuukauden vinkki, Päätelaitteet, Vinkit, Windows Server 2012 R2 by Mika Seitsonen

Onko Active Directory Federation Service -palvelussasi käytössä tähtivarmenne (*.yritys.fi tms.)? Onko Android ja/tai iOS-päätelaitteilla haasteita kirjautumisessa? Ratkaisu voi olla AD FS -palvelimen http.sys -sidoksissa.

Omassa ympäristössämme olemme törmänneet tällaiseen ongelmaan muutamassa eri yhteydessä:

  • Vanhemmalla iOS-käyttöjärjestelmällä toimiva iPhone, jolla käyttäjä yrittää käyttää federoitua kirjautumista esim. Office 365 -palveluun
  • Tuoreella Android-puhelimella (esim. Samsung Galaxy S5, jossa Android 5.0) samantyyppinen käyttötapaus

    Android-puhelimen virheilmoitus.

    Android-puhelimen virheilmoitus.

Android-puhelin näyttää tällaisessa tilanteessa ilmoituksen, jonka perusteella voisi luulla palvelimen pyytävän käyttäjävarmennetta. Virhe aiheutuu kuitenkin siitä, että sovellus- ja käyttöjärjestelmäyhdistelmä, tässä tapauksessa Chrome Samsung Galaxy S5 -puhelimessa ei osaa käyttää Windows Server 2012 R2 AD FS -palvelimen Server Name Indication (SNI) -toimintoa TLS-kättelyssä.

Ongelma ratkeaa määrittämällä AD FS tai Web Application Proxy -palvelimella käyttöön ns. fallback-varmenne. Tämä onnistuu ensin tarkistamalla käytössä olevat varmenteet komennolla

netsh http show sslcert

Tämän jälkeen fallback-varmenne määritetään komennolla

netsh http add sslcert ipport=0.0.0.0:443 certhash=certthumbprint appid=”{applicationguid}”

Varmenteen thumbprint löytyy ensimmäisen komennon tulosteesta tai voit sen katsoa myös komennolla

dir Cert:\LocalMachine\My | Format-List

ApplicationGuid pitää olla aaltosulkujen ja lainausmerkkien kera ja sen arvon näet myös edellisen komennon tulosteesta. Tässä ApplicationGuid-arvot:

  • AD FS -palvelimella {5d89a20c-beab-4389-9447-324788eb944a}
  • Web Application Proxy -palvelimella {f955c070-e044-456c-ac00-e9e4275b3f04}

Lisää aiheesta esim. Web Application Proxy -tuoteryhmän blogissa.