Uso de SSL no ADFS

1

Estou trabalhando para migrar do Exchange 2007 para o intercâmbio online. Cheguei ao ponto de precisar que o ADFS funcione fora do meu domínio. Eu tenho um certificado de terceiros confiável da GD, fiz as alterações de configuração apropriadas no firewall e posso verificar o tráfego atingindo o servidor ADFS.

O problema que estou tendo é o ADFS requer configuração legada ao gerar o certificado, limitando as cifras aparentemente. Os códigos de erro que vejo no visualizador de eventos são:

"Erro: Uma solicitação de conexão TLS 1.0 foi recebida de um aplicativo cliente remoto, mas nenhum dos conjuntos de criptografia suportados pelo aplicativo cliente é suportado pelo servidor. A solicitação de conexão SSL falhou.

Um alerta fatal foi gerado e enviado para o endpoint remoto. Isso pode resultar no encerramento da conexão. O código de erro fatal definido pelo protocolo TLS é 40. O estado de erro SChannel do Windows é 1204 "

Eu tentei usar o openssl para importar, em seguida, exportar o certificado para "desbloquear" todas as cifras, mas eu não consigo fazê-lo funcionar. Obrigado a todos pela leitura, qualquer sugestão seria muito apreciada.

    
por Tom Burgoon 16.09.2016 / 14:23

1 resposta

2

Você já conhece a causa raiz aqui:

  • Causa raiz : Esse problema ocorre porque o certificado usado emprega uma tecnologia criptográfica mais recente, conhecida como CNG (Criptografia de próxima geração). O CNG permite o uso de um conjunto de provedores de chave pública mais recentes que não são compatíveis com o ADFS.

Então a solução aqui é:

  • Solução:

    1. Se você estiver usando uma Autoridade de Certificação Microsoft para emitir o certificado, poderá garantir o uso da API herdada usando um modelo de certificado que especifique um provedor de serviços de criptografia herdado.
    2. Se você recebeu seu certificado de uma autoridade de certificação pública, precisará contatá-los (GD) para reemitir seu certificado com um CSP legado para que o assistente do ADFS possa aceitar o certificado.
    3. Ou use certutil.exe para importar cert como abaixo:

      certutil.exe -csp "Provedor criptográfico avançado de RSA e AES da Microsoft" -importpfx C: \ Cert \ YourCNGCertFile.pfx

por 20.09.2016 / 12:44

Tags