ADFS

[tdemeyer]

Toevallig iemand hier die héél goed thuis is in de installatie en configuratie van ADFS ???

[Sasuke]

Toevallig wel ... beetje mijn stokpaardje

[didi79]

Niet héél goed, maar toch voldoende om in productie werkend te hebben...

[lithion]

Part of the job (op server 2019). Gebruiken dit voor zowel WS-FED, SAML2 als OIDC.

[tdemeyer]

Wat is Userbase toch handig

OK, here it goes: ADFS op 2012R2 server

Het certificaat van de website (de webpagina) waar gebruikers hun credentials ingeven was vervallen. Ik denk dus: ik vervang het certificaat dat gedefinieerd staat in "service communications" door een nieuw (wildcard deze keer, maar dat doet volgens mij niet terzake)..
Ik herstart de adfs service voor alle zekerheid..

Wat blijkt: de login pagina (/site) gebruikt blijkbaar nog steeds het oude certificaat.

Dat certificaat moet dus duidelijk nog ergens anders zitten, maar ik weet bijgod niet waar ik moet gaan zoeken...

[didi79]

als je certificate module toevoegt aan mmc, doe het dan eens in context van de adfs service.
Standaard zit je certificaten te beheren op computer of user niveau

edit: heb voor mezelf op het werk een guide gemaakt van hoe cert renewal te doen, zal straks eens kijken of ik het terugvind...

[fuserke]

Voila zie. Hier de stappen om een expired cert te vervangen

https://docs.microsoft.com/en-us/troubl ... unications

Ok is vr 2008 mr niet veel verschil met 2012

Edit: 2012 r2 via powershell guide
https://blog.rmilne.ca/2016/03/21/updat ... tificates/

[didi79]

Mijn procedure is hierop gebaseerd: https://wolfgangontheroad.wordpress.com ... tificates/

[Sasuke]

Is ne klassieker, ik doe het altijd met powershell. Je moet zowel de adfs webservice wijsmaken dat het een nieuw cert is (set-adfsslcertificate) als de adfs service (set-adfscertificate -type service-communications)

Enkel wijzigen via de gui is niet voldoende.

[didi79]

Is ne klassieker, ik doe het altijd met powershell. Je moet zowel de adfs webservice wijsmaken dat het een nieuw cert is (set-adfsslcertificate) als de adfs service (set-adfscertificate -type service-communications)

Enkel wijzigen via de gui is niet voldoende.

Idd en eigenlijk is dat wel jammer want Windows is toch al altijd al GUI based geweest. Het gekke is een beetje dat MS nog altijd de moeite doet om een GUI te schrijven, maar dat we toch alsmaar vaker moeten teruggrijpen (al is "terug" misschien niet helemaal correct) naar powershell

[tdemeyer]

Idd beetje stom: heb je vanallles en nog wat om het cert aan te passen in een GUI, maar achterliggend gebeurd er dus niets ....

'k Ga mijn powershell even moeten afstoffen dus..

[cyberbozzo]

Is het voor O365? Indien je dan een WAP gebruikt als frontend moet je daar ook iets op wijzigen geloof ik. Is idd een hele procedure en best via ps doen (waar je dan die thumbprint moet wijzigen). Indien het voor O365 is kan je op testconnectivity.microsoft.com een paar mooie testen runnen die bevestigen of het goed geinstalleerd is.

[NickG]

Idd beetje stom: heb je vanallles en nog wat om het cert aan te passen in een GUI, maar achterliggend gebeurd er dus niets ....

'k Ga mijn powershell even moeten afstoffen dus..

Yep, de eerste keer dat ik een cert verving op ADFS via GUI ook een tijd gezocht naar wat er nu nog mis was (en uiteindelijk rechtgetrokken via PS).
Daarna telkens alles volledig in PS gedaan, eens je de cmdlets kent veel makkelijker en sneller

[tdemeyer]

OK, activeren van het certificaat was idd een no-brainer (thanks for the help)

Alleen lijkt het alsof ADFS geen wildcard certificaat wil gebruiken??
Cert properties geven aan dat het certifieringspath OK is, en het cert zelf ook in orde is, en toch krijg ik een melding onveilige site ??!!

[Sasuke]

ADFS kan perfect overweg met een wildcard hoor ... daar ligt het niet aan dan. ADFS Services herstart (verplicht na die powershell regeltjes)

[tdemeyer]

herstart: jazeker. In powershell krijg je daaromtrent een specifieke waarschuwing...

[didi79]

Er is inderdaad een specialleke met wildcards, maar herinner me niet meer goed welk...
Kan het te maken hebben met niet overeenkomen van SAN en server hostname ? SAN = *.domein.com en local hostname is blabla.local
Ik weet het niet meer zeker...

Sowieso even checken of het cert wel geschikt is voor het beoogde doel (server authentication).

[Sasuke]

Ik zie het al ... je hebt een SSL cert van 2 jaar gemaakt ... maar er is onlangs (in 2 stappen) besloten om de maximale validiteit van nieuwe certificaten terug te dringen tot 1 jaar. Vermoedelijk zal je browser daar nu wel over vallen.

Meer info hier: https://www.certisur.com/en/google-chro ... -one-year/

[tdemeyer]

huh... Serieus?... Dan ga ik al eens moeten zoeken waar die settings in onze domein/windows CA zitten om dat aan te passen, want daar komen default 2-jarige certs uit.

We hebben ook een eigen locale "let's encrypt" compatibele server draaien voor al onze interne webservers, misschien moet ik eens kijken of we via die weg iets kunnen regelen.

[Sasuke]

Let’s Encrypt zal niet gaan want je fqdn gebruikt een niet-publieke tld. Je kan gewoon in je DC / Microsoft CA de templates aanpassen (copy template en dan niet vergeten op publish new template te doen ... nog zo een klassieker )

Succes !

[tdemeyer]

<off the record > Wij hebben onze lokale Let's encrypt draaien

[Sasuke]

Maakt ni uit ... Lets Encrypt is toch enkel voor publieke TLD's bruikbaar ? Als het domein niet op internet gekend is (DNS) dan zal LetsEncrypt toch nooit gevalideerd geraken ? Of is dat ondertussen achterhaald ?

Update: OK, je kan LetsEncrypt voor local purposes gebruiken, maar dan moet je zelf je (local) root deployen en is het nooit bruikbaar voor externe toegang (zonder VPN). Dus ja, in die optiek zou je LetsEncrypt hiervoor kunnen gebruiken, maar dan is dat net hetzelfde als je eigen Microsoft CA gebruiken ...

[tdemeyer]

Wij hebben idd een lokale let's encrypt draaien die onze lokale domeinen valideert.. Dus al onze webservers worden via een ACME client voorzien van certificaten (die om de 90 dagen vervallen)

Voordeel: ik moet me niet meer bezighouden met vervallende certs...

[NickG]

Maar is dat niet vervelend? ADFS is er toch ook vooral voor federatie met anderen (klanten/SaaS providers). Als je daarvoor je eigen lokale Lets Encrypt gebruikt moeten die klanten die toch manueel gaan trusten? (net zoals met een MS CA, zoals Sasuke terecht aanhaalt).

[tdemeyer]

Als ik een cert van onze domain ca gebruik is dat ook enkel intern gekend, maar toch authenticeren we hiermee in diverse extern draaiende systemen... Hoe heel dat ADFS gedoe in zijn werk gaat heb ik geen flauw idee...