个人中心
gpt4 book ai didi

azure - "Azure AD certificate-based authentication"未提供证书弹出窗口

转载 作者:行者123 更新时间:2023-12-03 06:20:25 24 4
gpt4 key购买 nike

我按照本文档在 Azure AD 门户中设置“基于证书的身份验证”。我已经完成了本文档中提到的所有设置:https://learn.microsoft.com/en-us/azure/active-directory/authentication/how-to-certificate-based-authentication

但我面临的问题是:我的 Windows 计算机上安装了用户证书,当我尝试打开 Azure 门户时,我没有收到任何证书弹出窗口。 CA 证书也上传到 Azure 门户中。我认为我在以下步骤中缺少证书生成的某些步骤:

先决条件

确保满足以下先决条件:

  1. 在 Azure AD 中配置至少一个证书颁发机构 (CA) 和任何中间 CA。
  2. 用户必须有权访问用于客户端身份验证的用户证书(从租户上配置的受信任公钥基础结构颁发),以便针对 Azure AD 进行身份验证。

我遵循的步骤:

  1. 我已使用以下链接生成了自签名 CA 证书:

    openssl req -new -sha256 -key certAuth.key -subj "/C=US/ST=CA/O=MyOrg, Inc./CN=mykey" -out certAuth.csr

    openssl x509 -req -in certAuth.csr -CA certAuth.crt -CAkey certAuth.key -CAcreateserial -out certAuth.crt -days 500 -sha256

  2. 我仅在 Azure AD 中上传了 CA 证书,未上传中间 CA。会引起什么问题吗?

  3. 用户证书是使用以下命令生成的: https://www.golinuxcloud.com/openssl-create-client-server-certificate/#Create_client_certificate

    1) openssl genrsa -out user1.key 4096

    2) openssl req -new -key user1.key -out user1.csr -subj /<a href="https://stackoverflow.com/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="b0f3fe8dc5c3d5c281f0c4d5c3c49ed3dfdd" rel="noreferrer noopener nofollow">[email protected]</a>

    3) openssl x509 -req -in user1.csr -CA certAuth.crt -CAkey certAuth.key -out user1.crt -CAcreateserial -days 365 -sha256 -subj /<a href="https://stackoverflow.com/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="2d6e6310585e485f1c6d59485e59034e4240" rel="noreferrer noopener nofollow">[email protected]</a> -extfile openssl.cnf

openssl.cnf 文件:

[ req ]
default_bits       = 4096
distinguished_name = req_distinguished_name
req_extensions     = v3_req
x509_extensions     = v3_req
[ req_distinguished_name ]
countryName                 = TT
stateOrProvinceName         = TT
localityName               = TT
organizationName           = TT
commonName                 = TT
[ v3_req ]
subjectAltName = @alt_names
[alt_names]
PrincipalName   = <a href="https://stackoverflow.com/cdn-cgi/l/email-protection" class="__cf_email__" data-cfemail="51242234236011253422257f323e3c" rel="noreferrer noopener nofollow">[email protected]</a>

我可以将主体名称视为主题备用名称,主题为 [email protected]在证书详细信息中(安装证书时)。但有 1 个问题:当我在 Windows 计算机上安装此用户证书时,我也可以导出它的私钥。而其他用户证书(其他制作软件生成的)则无法导出私钥。

我无法使用上述 user1 证书获得证书弹出窗口。 “test.com”CA 证书是自签名的并安装在证书颁发机构中。我在生成证书时是否遗漏了一些东西?本文档的先决条件部分中未提及任何步骤:https://learn.microsoft.com/en-us/azure/active-directory/authentication/how-to-certificate-based-authentication

有人可以帮忙吗?我需要利用此功能,但我无法理解证书生成中出了什么问题。

最佳答案

我尝试在我的环境中重现相同的结果,并得到如下结果:

我使用以下 PowerShell 脚本生成了根证书:

$cert = New-SelfSignedCertificate -Type Custom -KeySpec Signature 
-Subject "CN=RukP2SRootCert" -KeyExportPolicy Exportable 
-HashAlgorithm sha256 -KeyLength 2048 
-CertStoreLocation "Cert:\CurrentUser\My" -KeyUsageProperty Sign -KeyUsage CertSign

enter image description here

现在,我导出了如下证书:

转至管理用户证书 -> 个人 -> 证书 -> 选择您的证书 -> 所有任务 -> 导出

enter image description here

选择Base-64编码的X.509 (.CER):

enter image description here

证书导出成功:

enter image description here

为了测试,我为用户启用了 MFA 并将用户添加到 testrukgrp 中:

enter image description here

在 Azure 门户中,我在证书颁发机构上传了证书:

enter image description here

启用基于证书的身份验证并添加testrukgrp:

enter image description here

在配置中,我进行了如下更改:

enter image description here

确保在注册事件中启用该状态:

enter image description here

完成上述配置后,我能够成功弹出证书,如下所示:

enter image description here

关于azure - "Azure AD certificate-based authentication"未提供证书弹出窗口,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/75942158/

24 4 0
文章推荐: youtube - 如何获取用户流的状态?
文章推荐: javascript - Angular $http.get 请求在 Auth0 登录后失败
文章推荐: javascript - addEventListener 上的 TypeError : document. getElementById(...) 为 null
文章推荐: matlab - 如何使用MATLAB从url下载视频
行者123
个人简介

我是一名优秀的程序员,十分优秀!

滴滴打车优惠券免费领取
滴滴打车优惠券
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com