windows server 2016に、AD FSサーバを構築する。
■AD FSインストール
サーバマネージャの役割と機能の追加から、AD FSを追加
■AD FS構成
・ADFSサービスアカウント用のドメインユーザ作成
ADDSのツールからgiveadream.comドメインの一般ユーザとして『fsuser』を作成
・SSL証明書と秘密鍵を作成
- 自己署名ルート証明書作成
せ7> openssl genrsa -aes256 -out /etc/pki/CA/private/cakey.pem 2048
せ7> openssl req -new -key /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.csr
せ7> openssl x509 -days 3650 -in /etc/pki/CA/cacert.csr -req -signkey /etc/pki/CA/private/cakey.pem -out /etc/pki/CA/cacert.pem
せ7> touch /etc/pki/CA/index.txt
せ7> echo '1000' > /etc/pki/CA/serial
- サーバ証明書用csrとサーバ証明書秘密鍵作成
せ7> openssl genrsa 2048 > server.key
せ7> openssl req -new -key server.key > server.csr
・・・前略・・・
Country Name (2 letter code) [XX]:JP
State or Province Name (full name) []:tokyo
Locality Name (eg, city) [Default City]:chiyoda
Organization Name (eg, company) [Default Company Ltd]:
Organizational Unit Name (eg, section) []:
Common Name (eg, your name or your server's hostname) []:win2016.giveadream.com ←AD FSのFQDNにする
・・・後略・・・
せ7> openssl ca -cert /etc/pki/CA/cacert.pem -keyfile /etc/pki/CA/private/cakey.pem -out server.crt -infiles server.csr
せ7> ls -ltr
合計 16
-rw-r--r--. 1 root root 1679 4月 21 17:15 server.key
-rw-r--r--. 1 root root 1025 4月 21 17:17 server.csr
-rw-r--r--. 1 root root 4686 4月 21 17:25 server.crt
pem形式のサーバ証明書と秘密鍵をpkcs12形式に変換
せ7> openssl pkcs12 -export -in server.crt -inkey server.key -out server.pfx
せ7> ls -ltr
合計 20
-rw-r--r--. 1 root root 1679 4月 21 17:15 server.key
-rw-r--r--. 1 root root 1025 4月 21 17:17 server.csr
-rw-r--r--. 1 root root 4686 4月 21 17:25 server.crt
-rw-r--r--. 1 root root 2661 4月 21 17:27 server.pfx