联合身份验证服务
Citrix 联合身份验证服务 (FAS) 是一个特权组件,旨在与 Active Directory 证书服务集成。它动态地为用户颁发证书,允许他们像使用智能卡一样登录 Active Directory 环境。FAS 允许 StoreFront™ 使用更广泛的身份验证选项,例如 SAML(安全断言标记语言)断言。SAML 通常用作 Internet 上传统 Windows 用户帐户的替代方案。
下图显示了 FAS 与证书颁发机构的集成,以便为 StoreFront 以及 XenApp 和 XenDesktop® 虚拟投递代理 (VDA) 提供服务。
当用户请求访问 Citrix 环境时,受信任的 StoreFront 服务器会联系联合身份验证服务 (FAS)。FAS 授予一个票证,允许单个 XenApp® 或 XenDesktop 会话使用该会话的证书进行身份验证。当 VDA 需要对用户进行身份验证时,它会连接到 FAS 并兑换票证。只有 FAS 才能访问用户证书的私钥。VDA 会将所需的每个签名和解密操作与证书一起发送给 FAS。
必备条件
联合身份验证服务支持在 Windows 服务器(Windows Server 2008 R2 或更高版本)上运行。
- Citrix 建议将 FAS 安装在没有其他 Citrix 组件的服务器上。
- Windows Server 必须是安全的。它拥有对注册机构证书和相应私钥的访问权限。服务器使用这些访问权限向域用户颁发证书。一旦颁发,服务器也拥有对用户证书和私钥的访问权限。
- 联合身份验证服务 (FAS) 的 PowerShell 开发工具包 要求在 FAS 服务器上安装 64 位 Windows PowerShell。
- 需要证书颁发机构(例如 Microsoft Enterprise 或在 Citrix Ready 计划中经过验证的任何其他证书颁发机构)来颁发用户证书。
-
对于非 Microsoft 的证书颁发机构,请确保以下事项:
- 证书颁发机构 (CA) 在 Active Directory 中注册为注册服务。
- CA 证书位于域控制器上的 NTAuth 存储中。有关详细信息,请参阅 如何将第三方证书颁发机构 (CA) 证书导入 Enterprise NTAuth 存储。
In the XenApp or XenDesktop Site:
- 交付控制器必须至少是 7.15 版本。
- VDA 必须至少是 7.15 版本。在创建计算机目录之前,请务必将 FAS 组策略配置应用于 VDA。有关详细信息,请参阅配置组策略。
- The StoreFront server must be at least of the version 3.12 (XenApp and XenDesktop 7.15 ISO supports the 3.12 StoreFront version).
规划此服务的部署时,请查看安全注意事项部分。
参考:
- 活动目录数字证书服务
- 配置 Windows 以进行证书登录
https://support.citrix.com/article/CTX206156
安装和设置顺序
- 安装联合身份验证服务
- 在 StoreFront 服务器上启用联合身份验证服务插件
- 配置组策略
- 使用联合身份验证服务管理控制台执行以下操作:(a) 部署提供的模板,(b) 设置证书颁发机构,以及 (c) 授权联合身份验证服务使用您的证书颁发机构
- 配置用户规则
联合身份验证服务的安装过程
为了安全起见,Citrix 建议将 FAS 安装在专用服务器上,类似于域控制器或证书颁发机构。插入 ISO 后,可以从自动运行启动屏幕上的“Federated Authentication Service”按钮安装 FAS。
此安装过程将安装以下组件:
- 联合身份验证服务
- 用于远程配置联合身份验证服务的 PowerShell 管理单元 cmdlet
- 联合身份验证服务 管理控制台
- Federated Authentication Service Group Policy templates (CitrixFederatedAuthenticationService.admx/adml)
- 用于简单证书颁发机构配置的证书模板文件
- 性能计数器 和 事件日志
在 StoreFront 存储上启用联合身份验证服务插件
要在 StoreFront 存储中启用 Federated Authentication Service 集成,请以管理员帐户身份运行以下 PowerShell cmdlet。如果您有多个存储,或者存储名称不同,则以下路径文本可能会有所不同。
```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "FASClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider "FASLogonDataProvider"
<!--NeedCopy--> ```
要停止使用 FAS,请使用以下 PowerShell 脚本:
```
Get-Module "Citrix.StoreFront.*" -ListAvailable | Import-Module
$StoreVirtualPath = "/Citrix/Store"
$store = Get-STFStoreService -VirtualPath $StoreVirtualPath
$auth = Get-STFAuthenticationService -StoreService $store
Set-STFClaimsFactoryNames -AuthenticationService $auth -ClaimsFactoryName "standardClaimsFactory"
Set-STFStoreLaunchOptions -StoreService $store -VdaLogonDataProvider ""
<!--NeedCopy--> ```
对交付控制器进行配置™
To use FAS, configure the XenApp or XenDesktop Delivery Controller to trust the StoreFront servers that can connect to it: run the Set-BrokerSite -TrustRequestsSentToTheXmlServicePort $true PowerShell cmdlet.
配置组策略设置
安装 FAS 后,使用安装期间提供的组策略模板在组策略中指定 FAS 服务器的完整 DNS 地址。
重要提示: 确保请求票证的 StoreFront 服务器和兑换票证的 VDA 具有相同的 DNS 地址配置,包括组策略对象应用的自动服务器编号。
以下示例在域级别配置一个适用于所有计算机的策略。但是,只要 StoreFront 服务器、VDA 和运行 FAS 管理控制台的计算机看到相同的 DNS 地址列表,FAS 即可正常运行。组策略对象会为每个条目添加一个索引号,如果使用多个对象,该索引号也必须匹配。
Step 1. On the server where you installed the FAS, locate the C:\Program Files\Citrix\Federated Authentication Service\PolicyDefinitions\CitrixFederatedAuthenticationService.admx file and the en-US folder.
步骤 2. 将文件和文件夹复制到域控制器,并将其放置在 C:\Windows\PolicyDefinitions 和 en-US 子文件夹中。
步骤 3. 运行 Microsoft 管理控制台(从命令行运行 mmc.exe)。从菜单栏中,选择 文件 > 添加/删除管理单元。添加 组策略管理编辑器。
当系统提示您选择组策略对象时,选择 浏览,然后选择 默认域策略。此外,您可以使用所选工具为您的环境创建并选择适当的策略对象。该策略必须应用于所有运行受影响的 Citrix 软件(VDA、StoreFront 服务器、管理工具)的计算机。
步骤 4. 导航到“计算机配置/策略/管理模板/Citrix 组件/身份验证”中的联合身份验证服务策略。
步骤 5. 打开联合身份验证服务策略并选择 已启用。此选项允许您选择 显示 按钮,您可以在其中配置 FAS 服务器的 DNS 地址。
步骤 6. 输入托管联合身份验证服务的服务器的 DNS 地址。
请记住: 如果输入多个地址,则列表的顺序(包括空白或未使用的条目)在 StoreFront 服务器和 VDA 之间必须保持一致。
步骤 7. 单击 确定 退出组策略向导并应用组策略更改。您可能需要重新启动计算机(或从命令行运行 gpupdate /force)才能使更改生效。
启用会话内证书支持和锁定断开连接
会话内证书支持功能
组策略模板包含用于将会话内证书配置到系统的支持。这会在登录后将证书放置在用户的个人证书存储中以供应用程序使用。例如,如果需要对 VDA 会话中的 Web 服务器进行 TLS 身份验证,Internet Explorer 可以使用该证书。默认情况下,VDA 在登录后不允许访问证书。
锁定断开连接
如果启用此策略,当用户锁定屏幕时,其会话将自动断开连接。此行为类似于“智能卡移除时断开连接”策略,并且在用户没有 Active Directory 登录凭据时非常有用。
注意:
锁定断开连接策略适用于 VDA 上的所有会话。
如何使用联合身份验证服务管理控制台
联合身份验证服务管理控制台作为联合身份验证服务的一部分安装。一个图标(Citrix 联合身份验证服务)会放置在“开始”菜单中。
控制台尝试使用组策略配置自动查找环境中的 FAS 服务器。如果此过程失败,请参阅配置组策略部分。
如果您的用户帐户不是运行 Federated Authentication Service 的计算机上的管理员组的成员,系统将提示您输入凭据。
首次使用管理控制台时,它会引导您完成一个三步过程,该过程执行以下操作:
- 负责部署证书模板。
- 设置证书颁发机构。
- 授权联合身份验证服务使用证书颁发机构的权限。
您可以使用操作系统配置工具手动完成其中一些步骤。
证书模板的部署
为避免与其他软件出现互操作性问题,联合身份验证服务提供了三个 Citrix 证书模板供其自身使用。
- Citrix 注册机构手动授权
- Citrix_注册颁发机构
- Citrix_智能卡登录
这些模板必须在 Active Directory 中注册。如果控制台无法找到它们,则“部署证书模板”工具可以安装它们。此工具必须以具有管理企业林权限的帐户运行。
模板的配置可在随联合身份验证服务安装的扩展名为 .certificatetemplate 的 XML 文件中找到,路径为:
C:\程序文件\Citrix\联合身份验证服务\证书模板
如果您没有安装这些模板文件的权限,请将其交给您的 Active Directory 管理员。
要手动安装模板,可以使用以下 PowerShell 命令:
```
$template = [System.IO.File]::ReadAllBytes("$Pwd\Citrix_SmartcardLogon.certificatetemplate")
$CertEnrol = New-Object -ComObject X509Enrollment.CX509EnrollmentPolicyWebService
$CertEnrol.InitializeImport($template)
$comtemplate = $CertEnrol.GetTemplates().ItemByIndex(0)
$writabletemplate = New-Object -ComObject X509Enrollment.CX509CertificateTemplateADWritable
$writabletemplate.Initialize($comtemplate)
$writabletemplate.Commit(1, $NULL)
<!--NeedCopy--> ```
设置 活动目录 证书服务
安装 Citrix 证书模板后,必须在一个或多个证书颁发机构服务器上发布它们。有关如何部署 Active Directory 证书服务的信息,请参阅 Microsoft 文档。
如果模板未在至少一个服务器上发布,则“设置证书颁发机构”工具会提供发布它们的选项。您必须以具有管理证书颁发机构权限的用户身份运行此工具。
(证书模板也可以使用 Microsoft 证书颁发机构控制台发布。)
对联合身份验证服务进行授权
控制台中的最后一步设置将启动联合身份验证服务的授权。管理控制台使用 Citrix_RegistrationAuthority_ManualAuthorization 模板生成证书请求。然后,它将请求发送到发布该模板的其中一个证书颁发机构。
请求发送后,您可以在 Microsoft 证书颁发机构控制台的“待处理请求”列表中看到它。证书颁发机构管理员必须选择“颁发”或“拒绝”请求,然后才能继续配置联合身份验证服务。授权请求显示为来自 FAS 计算机帐户的“待处理请求”。
右键单击“所有任务”,然后为证书请求选择“颁发”或“拒绝”。联合身份验证服务管理控制台会自动检测此过程何时完成。此步骤可能需要几分钟。
配置用户规则
用户规则授权颁发用于 VDA 登录和会话内使用的证书,具体由 StoreFront 指示。每个规则指定以下内容:
- 信任可请求证书的 StoreFront 服务器。
- 您可以为其请求证书的用户集合。
- 允许使用证书的 VDA 计算机集。
管理员必须定义默认规则才能完成联合身份验证服务的设置。 要定义默认规则,请转到 FAS 管理控制台的“用户规则”选项卡,选择发布了 Citrix_SmartcardLogon 模板的证书颁发机构,然后编辑 StoreFront 服务器列表。VDA 列表默认为“域计算机”,用户列表默认为“域用户”;如果默认值不合适,可以更改这些值。
字段:
证书颁发机构和证书模板:用于颁发用户证书的证书模板和证书颁发机构。该模板必须是 Citrix_SmartcardLogon 模板,或者是其修改副本,并且位于发布了该模板的某个证书颁发机构上。
FAS 支持使用 PowerShell 命令添加多个证书颁发机构以实现故障转移和负载平衡。同样,可以使用命令行和配置文件配置更高级的证书生成选项。请参阅PowerShell和硬件安全模块部分。
会话内证书:登录后可用复选框控制证书是否也可以用作会话内证书。如果未选中此复选框,则证书仅用于登录或重新连接,并且用户在身份验证后将无法访问该证书。
可以使用此规则的 StoreFront 服务器列表:受信任的 StoreFront 服务器计算机列表,这些计算机被授权请求用于用户登录或重新连接的证书。此设置对安全性至关重要,必须谨慎管理。
此规则可登录的 VDA 桌面和服务器列表: 可使用联合身份验证服务系统登录用户的 VDA 计算机列表。
StoreFront 可使用此规则登录的用户列表: 可通过联合身份验证服务颁发证书的用户列表。
高级用法
您可以创建更多规则来引用不同的证书模板和颁发机构,并将其配置为具有不同的属性和权限。您可以配置这些规则以供不同的 StoreFront 服务器使用。配置 StoreFront 服务器,使其使用组策略配置选项按名称请求自定义规则。
默认情况下,StoreFront 在联系联合身份验证服务时请求 default。可以使用组策略配置选项更改此设置。
要创建证书模板,请在 Microsoft 证书颁发机构控制台中复制 Citrix_SmartcardLogon 模板,将其重命名(例如,Citrix_SmartcardLogon2),并根据需要进行修改。通过单击“添加”创建用户规则以引用新证书模板。
升级注意事项
- 执行就地升级时,将保留所有联合身份验证服务服务器设置。
- 通过运行完整产品 XenApp 和 XenDesktop 安装程序来升级联合身份验证服务。
- 在将联合身份验证服务从 7.15 LTSR 升级到 7.15 LTSR CU2(或更高版本的受支持 CU)之前,请将 Controller 和 VDA(以及其他核心组件)升级到所需版本。
- 在升级联合身份验证服务之前,请确保联合身份验证服务控制台已关闭。
- 确保始终至少有一个联合身份验证服务服务器可用。如果启用了联合身份验证服务的 StoreFront 服务器无法访问任何服务器,则用户将无法登录或启动应用程序。
安全注意事项
联合身份验证服务拥有一个注册颁发机构证书,该证书允许其为您的域用户自主颁发证书。制定并实施一项安全策略至关重要,以保护 FAS 服务器并限制其权限。
委派的注册代理
FAS 通过充当注册代理来颁发用户证书。Microsoft 证书颁发机构控制 FAS 服务器可以使用的模板。它还确定 FAS 服务器可以为其颁发证书的用户。
Citrix 强烈建议配置这些选项,以确保联合身份验证服务仅能为预期用户颁发证书。例如,一项良好的做法是阻止联合身份验证服务向管理组或受保护用户组中的用户颁发证书。
访问控制列表的配置
如配置用户规则部分所述,您必须配置一个 StoreFront 服务器列表,这些服务器在颁发证书时受信任可向联合身份验证服务声明用户身份。同样,您可以限制向哪些用户颁发证书,以及他们可以向哪些 VDA 计算机进行身份验证。此步骤是对您配置的任何标准 Active Directory 或证书颁发机构安全功能的补充。
防火墙设置
所有与 FAS 服务器的通信都通过端口 80 使用双向认证的 Windows 通信基础 (WCF) Kerberos 网络连接。
事件日志监控
联合身份验证服务和 VDA 将信息写入 Windows 事件日志。此日志可用于监控和审计信息。事件日志部分列出了可能生成的事件日志条目。
硬件安全模块 (HSM)
所有私钥,包括由联合身份验证服务颁发的用户证书密钥,均由网络服务帐户存储为不可导出的私钥。如果您的安全策略有此要求,联合身份验证服务支持使用加密硬件安全模块。
低级别加密配置可在 FederatedAuthenticationService.exe.config 文件中找到。这些设置在首次创建私钥时应用。因此,注册机构私钥(例如,4096 位,TPM 保护)和运行时用户证书可以使用不同的设置。
| 参数 | 说明 |
|---|---|
| 旧版Csp提供程序 | When set to true, FAS uses the Microsoft CryptoAPI (CAPI). Otherwise, FAS uses the Microsoft Cryptography Next Generation API (CNG). |
| 提供程序名称 | 要使用的 CAPI 或 CNG 供应商的名称。 |
| 提供程序类型 | Refers to Microsoft KeyContainerPermissionAccessEntry.ProviderType Property PROV_RSA_AES 24. Must always be 24 unless you are using an HSM with CAPI and the HSM vendor specifies otherwise. |
| 密钥保护 | 控制私钥的“可导出”标志。如果硬件支持,还允许使用受信任的平台模块 (TPM) 密钥存储。 |
| 密钥长度 | RSA 私钥的密钥长度。支持的值为 1024、2048 和 4096(默认值:2048)。 |
PowerShell 软件开发工具包
尽管联合身份验证服务管理控制台适用于简单的部署,但 PowerShell 界面提供了更高级的选项。当您使用的选项在控制台中不可用时,Citrix 建议仅使用 PowerShell 进行配置。
以下命令添加 PowerShell 命令:
Add-PSSnapin Citrix.Authentication.FederatedAuthenticationService.V1
使用 Get-Help <cmdlet name> 显示命令小程序帮助。下表列出了多个命令,其中 * 表示标准 PowerShell 谓词(例如 New、Get、Set、Remove)。
| 命令 | 概述 |
|---|---|
| *Fas 服务器 | 列出并重新配置当前环境中的 FAS 服务器。 |
| *Fas 授权证书 | 此功能用于管理注册机构的证书。 |
| *-FasCertificateDefinition | 控制 FAS 用于生成证书的参数。 |
| *Fas规则 | 管理在联合身份验证服务上配置的用户规则。 |
| *Fas用户证书 | 列出并管理由联合身份验证服务缓存的证书。 |
通过指定 FAS 服务器的地址,可以远程使用 PowerShell cmdlet。
您还可以下载一个包含所有 FAS PowerShell cmdlet 帮助文件的 zip 文件;请参阅 PowerShell SDK 文章。
性能计数器
联合身份验证服务包含一组性能计数器,专门用于负载跟踪。
下表列出了可用的计数器。大多数计数器是五分钟内的滚动平均值。
| 名称 | 说明 |
|---|---|
| 活动会话 | 此计数器显示联邦身份验证服务当前正在跟踪的连接数量。 |
| 并发 CSR | 此计数器显示同时处理的证书请求数量。 |
| 私钥操作 | 每分钟执行的私钥操作的数量。 |
| 请求时间 | 生成和签署证书所需的时间。 |
| 证书数量统计 | 在联邦身份验证服务中缓存的证书数量。 |
| 每分钟 CSR | 每分钟处理的 CSR 数。 |
| 低/中/高 | 联合身份验证服务可以接受的负载估算,以“每分钟 CSR 数”衡量。超过“高负载”阈值可能会导致会话启动失败。 |
事件日志
以下表格列出了由联合身份验证服务生成的事件日志条目。
管理操作事件
[事件源: 思杰.身份验证.联合身份验证服务]
FAS 响应 FAS 服务器上的配置更改时记录这些事件。
| 日志代码 |
|---|
| [S001] 访问被拒绝:用户 [{0}] 不是管理员组的成员 |
| [S002] 访问被拒绝:用户 [{0}] 不是角色 [{1}] 的管理员 |
| [S003] 管理员 [{0}] 将维护模式设置为 [{1}] |
| [S004] 管理员 [{0}] 向 CA [{1}] 注册模板 [{2}] 和 [{3}] |
| [S005] 管理员 [{0}] 取消授权 CA [{1}] |
| [S006] 管理员 [{0}] 创建新的证书定义 [{1}] |
| [S007] 管理员 [{0}] 更新证书定义 [{1}] |
| [S008] 管理员 [{0}] 正在删除证书定义 [{1}] |
| [S009] 管理员 [{0}] 正在创建新角色 [{1}] |
| [S010] 管理员 [{0}] 正在更新角色 [{1}] |
| [S011] 管理员 [{0}] 正在删除角色 [{1}] |
| [S012] 管理员 [{0}] 正在创建证书 [upn: {0} sid: {1} role: {2}][证书定义: {3}] |
| [S013] 管理员 [{0}] 正在删除证书 [upn: {0} role: {1} 证书定义: {2}] |
| 日志代码 |
|---|
| [S401] 正在执行配置升级 – [从版本 {0}][到版本 {1}] |
| [S402] 错误: Citrix 联合身份验证服务必须以网络服务身份运行 [当前运行身份: {0}] |
创建身份断言 [联合身份验证服务]
当受信任的服务器断言用户登录时,这些事件会在联合身份验证服务服务器上运行时记录。
| 日志代码 |
|---|
| [S101] 服务器 [{0}] 无权断言角色 [{1}] 中的身份 |
| [S102] 服务器 [{0}] 未能断言 UPN [{1}] (异常: {2}{3}) |
| [S103] 服务器 [{0}] 请求了 UPN [{1}] SID {2},但查找返回了 SID {3} |
| [S104] 服务器 [{0}] 未能断言 UPN [{1}](UPN 不被角色 [{2}] 允许) |
| [S105] 服务器 [{0}] 发布了身份断言 [upn: {0}, 角色 {1}, 安全上下文: [{2}] |
| [S120] 正在向 [upn: {0} 角色: {1} 安全上下文: [{2}]] 颁发证书 |
| [S121] 正在代表帐户 {2} 向 [upn: {0} 角色: {1}] 颁发证书 |
| [S122] 警告: 服务器过载 [upn: {0} 角色: {1}][每分钟请求数 {2}]。 |
作为信赖方行事 [联合身份验证服务]
当 VDA 登录用户时,这些事件会在联合身份验证服务服务器上运行时记录。
| 日志代码 |
|---|
| [S201] 信赖方 [{0}] 无权访问密码。 |
| [S202] 信赖方 [{0}] 无权访问证书。 |
| [S203] 信赖方 [{0}] 无权访问登录 CSP |
| [S204] 信赖方 [{0}] 正在访问登录 CSP [操作: {1}] |
| [S205] 调用帐户 [{0}] 不是角色 [{1}] 中的信赖方 |
| [S206] 调用帐户 [{0}] 不是信赖方 |
| [S207] 信赖方 [{0}] 正在断言角色: [{2}] 中的身份 [upn: {1}] |
| [S208] 私钥操作失败 [操作: {0}][UPN: {1} 角色: {2} 证书定义 {3}][错误 {4} {5}]. |
会话内证书服务器 [联合身份验证服务]
当用户使用会话内证书时,这些事件记录在联合身份验证服务服务器上。
| 日志代码 |
|---|
| [S301] 访问被拒绝: 用户 [{0}] 无权访问虚拟智能卡 |
| [S302] 用户 [{0}] 请求了未知的虚拟智能卡 [指纹: {1}] |
| [S303] 用户 [{0}] 与虚拟智能卡不匹配 [UPN: {1}] |
| [S304] 用户 [{1}] 正在计算机 [{3}] 上运行程序 [{2}],使用虚拟智能卡 [UPN: {4} 角色: {5}] 进行私钥操作: [{6}] |
| [S305] 私钥操作失败 [操作: {0}][UPN: {1} 角色: {2} 容器名称 {3}][错误 {4} {5}]. |
登录 [VDA]
[事件源: 赛特斯.身份验证.身份断言]
这些事件在登录阶段记录在 VDA 上。
| 日志代码 |
|---|
| [S101] 身份断言登录失败。无法识别的联合身份验证服务 [ID: {0}] |
| [S102] 身份断言登录失败。无法查找 {0} 的 SID [异常: {1}{2}] |
| [S103] 身份断言登录失败。用户 {0} 的 SID 为 {1},预期 SID 为 {2} |
| [S104] 身份断言登录失败。无法连接到联合身份验证服务: {0} [错误: {1} {2}] |
| [S105] 身份断言登录。正在登录 [用户名: {0}][域: {1}] |
| [S106] 身份断言登录。正在登录 [证书: {0}] |
| [S107] 身份断言登录失败。 [异常: {1}{2}] |
| [S108] 身份断言子系统。ACCESS_DENIED [调用方: {0}] |
会话内证书 [VDA]
当用户尝试使用会话内证书时,这些事件将记录在 VDA 上。
| 日志代码 |
|---|
| [S201] 虚拟智能卡已授权 [用户: {0}][PID: {1} 名称:{2}][证书 {3}] |
| [S202] 虚拟智能卡子系统。会话 {0} 中没有可用的智能卡 |
| [S203] 虚拟智能卡子系统。访问被拒绝 [调用方: {0}, 会话 {1}, 预期: {2}] |
| [S204] 虚拟智能卡子系统。智能卡支持已禁用。 |
证书请求和生成代码 [联合身份验证服务]
[事件源: 思杰.信任结构]
当联邦身份验证服务服务器执行日志级别的加密操作时,会记录这些低级别事件。
| 日志代码 |
|---|
| [S0001]TrustArea::TrustArea: Installed certificate chain |
| [S0002]TrustArea::Join: 回调已授权不受信任的证书 |
| [S0003]TrustArea::Join: 正在加入受信任的服务器 |
| [S0004]信任区域::维护: 已续订证书 |
| [S0005]TrustArea::Maintain: Retrieved new certificate chain |
| [S0006]TrustArea::Export: Exporting private key |
| [S0007]信任区域::导入: 正在导入信任区域 |
| [S0008]信任区域::离开: 正在离开信任区域 |
| [S0009]信任区域::安全描述符: 正在设置安全描述符 |
| [S0010]证书验证: 正在安装新的信任证书 |
| [S0011]证书验证: 正在卸载已过期的信任证书 |
| [S0012]信任结构HTTP客户端: 正在尝试对 {0} 进行单点登录 |
| [S0013]TrustFabricHttpClient: Explicit credentials entered for {0} |
| [S0014]Pkcs10Request::Create: Created PKCS10 request |
| [S0015]Pkcs10Request::Renew: Created PKCS10 request |
| [S0016]私钥::创建 |
| [S0017]私钥::删除 |
| [S0018]信任区域::信任区域: 等待批准 |
| [S0019]信任区域::加入: 延迟加入 |
| [S0020]信任区域::加入: 延迟加入 |
| [S0021]信任区域::维护: 已安装证书链 |
| 日志代码 |
|---|
| [S0101]信任区域服务器::创建根证书 |
| [S0102]信任区域服务器::从属: 加入成功 |
| [S0103]信任区域服务器::对等加入: 加入成功 |
| [S0104]微软证书颁发机构::获取凭据: 已授权使用 {0} |
| [S0104]MicrosoftCertificateAuthority::SubmitCertificateRequest Error {0} |
| [S0105]微软证书颁发机构::提交证书请求 已颁发证书 {0} |
| [S0106]微软证书颁发机构::发布CRL: 已发布 CRL |
| [S0107]微软证书颁发机构::重新颁发证书 错误 {0} |
| [S0108]Microsoft证书颁发机构::重新颁发证书 已颁发证书 {0} |
| [S0109]MicrosoftCertificateAuthority::CompleteCertificateRequest - Still waiting for approval |
| [S0110]Microsoft 证书颁发机构::完成证书请求 - 待处理证书被拒绝 |
| [S0111]微软证书颁发机构::完成证书请求 已颁发证书 |
| [S0112]Microsoft证书颁发机构::提交证书请求 - 等待批准 |
| [S0120]本机证书颁发机构::提交证书请求 已颁发证书 {0} |
| [S0121]本机证书颁发机构::提交证书请求 错误 |
| [S0122]本机证书颁发机构::根 CA 滚动更新 新根证书 |
| [S0123]原生证书颁发机构::重新颁发证书 新证书 |
| [S0124]本机证书颁发机构::吊销证书 |
| [S0125]本机证书颁发机构::发布CRL |
相关参考信息
- 常见的 FAS 部署在 联合身份验证服务体系结构概述 文章中进行了总结。
- “操作方法”文章在联合身份验证服务配置和管理文章中介绍。