Für Horizon Cloud Service - next-gen werden auf dieser Seite die Elemente beschrieben, die für die Verwendung der True SSO-Funktion mit einem Horizon Edge in Microsoft Azure erforderlich sind.

Möglicherweise sind Sie bereits mit der Verwendung von True SSO in Ihren früheren Horizon-Bereitstellungen vertraut, z. B. in der lokalen Horizon 8-Umgebung oder in einer Horizon Cloud on Microsoft Azure-Bereitstellung der ersten Generation.

In einer Horizon Cloud Service - next-gen-Umgebung sind die erforderlichen Elemente für die Verwendung der True SSO-Funktion, um Ihren Endbenutzern einen Single Sign-On(SSO)-Zugriff auf ihre Desktops und Anwendungen zu ermöglichen, eine Microsoft Enterprise-Zertifizierungsstelle und speziell konfigurierte Zertifikatvorlagen in dieser Microsoft Enterprise-Zertifizierungsstelle.

Microsoft Enterprise-Zertifizierungsstelle

Für die Verwendung von True SSO ist eine Microsoft Enterprise-Zertifizierungsstelle erforderlich.

Der Ausdruck „Microsoft Enterprise-Zertifizierungsstelle“ bezieht sich auf eine Microsoft-Zertifizierungsstelle (Microsoft CA), die im Unternehmensmodus ausgeführt wird. Da True SSO eine Unternehmenskonfiguration erfordert, wird in der True SSO-Dokumentation der Begriff „Microsoft Enterprise-Zertifizierungsstelle“ verwendet.

Tipp: In Produktionsumgebungen empfiehlt es sich, mindestens zwei (2) solcher Zertifizierungsstellen einzurichten, um Redundanz und Lastausgleich zu gewährleisten.

Wenn Sie noch keine Zertifizierungsstelle eingerichtet haben, müssen Sie die Rolle der Active Directory-Zertifikatdienste (AD CS) einem Microsoft Windows Server hinzufügen und diesen als Unternehmenszertifizierungsstelle konfigurieren.

Im Rahmen der Microsoft-Prozedur zum Konfigurieren einer Microsoft Enterprise-Zertifizierungsstelle installieren Sie die Rolle Active Directory-Zertifikatdienste (AD CS). Bei der Einrichtung von AD CS haben Sie die Wahl, die Zertifizierungsstelle als Unternehmenszertifizierungsstelle oder als eigenständige Zertifizierungsstelle auszuführen.

Einrichten der erforderlichen Zertifikatvorlagen für True SSO mit Horizon Cloud

Geben Sie die folgenden Einstellungen an, einschließlich der Mindestschlüsselgröße für das Windows Server-Signaturzertifikat für die True SSO-Vorlage. Für ein Windows Server-Signaturzertifikat beträgt die erforderliche Mindestschlüsselgröße 2048. Die Angabe einer Mindestschlüsselgröße von weniger als 2048 führt zu einem Authentifizierungsfehler.

Geben Sie für die True SSO-Vorlage die folgenden Einstellungen auf der Registerkarte Kryptographie an.

  1. Wählen Sie als Anbieterkategorie die Option Schlüsselspeicheranbieter aus.
  2. Wählen Sie als Algorithmusname die Option RSA aus.
  3. Geben Sie für Minimumschlüsselgröße die Option 2048 an.
  4. Wählen Sie für Auswählen, welche kryptografischen Anbieter für Anfragen verwendet werden können die Option Verwendung aller auf dem Computer des Antragstellers verfügbaren Anbieter für Anforderungen möglich aus.
  5. Geben Sie als Anforderungshash die Option SHA384 an.
  6. Klicken Sie auf Speichern.

Nachfolgend ist ein Teil des Bildschirms abgebildet, der den Wert für die Mindestschlüsselgröße von 2048 veranschaulicht.

Anzeige der Mindestschlüsselgröße von 2048 auf der Registerkarte „Kryptographie“ wie im Text beschrieben.

Verarbeitung nicht persistenter Zertifikate aktivieren

Für jede „Microsoft Enterprise-Zertifizierungsstelle“, die von True SSO verwendet wird, empfiehlt es sich, die Verarbeitung nicht persistenter Zertifikate zu aktivieren.

Wenn die Verarbeitung nicht persistenter Zertifikate auf der „Microsoft Enterprise-Zertifizierungsstelle“ nicht aktiviert ist, bleiben True SSO-Zertifikate in der Datenbank der Unternehmenszertifizierungsstelle gespeichert, was zu den folgenden Problemen führt:

  • Die Datenbank der Unternehmenszertifizierungsstelle wächst unnötig schnell. True SSO fordert für jede neue Verbindung ein neues Zertifikat an.
  • Die Leistung wird beeinträchtigt, da der Speicherplatz der Unternehmenszertifizierungsstelle mit zunehmender Größe der Datenbank knapp wird.

Wie in VMware KB-2149312 beschrieben, wird zur Vermeidung der oben genannten Probleme empfohlen, die Einstellung DBFLAGS_ENABLEVOLATILEREQUESTS zu aktivieren. Im KB-Artikel finden Sie die entsprechenden Schritte.

Hinweis: Im KB-Artikel wird nicht nur die Empfehlung zur Aktivierung von DBFLAGS_ENABLEVOLATILEREQUESTS beschrieben, sondern auch die Verwendung einer weiteren Einstellung, CRLF_REVCHECK_IGNORE_OFFLINE. Die Aktivierung der Einstellung CRLF_REVCHECK_IGNORE_OFFLINE hängt von Ihrer PKI-Architektur ab. Die Aktivierung der Einstellung CRLF_REVCHECK_IGNORE_OFFLINE ist keine strenge oder unabdingbare Anforderung für True SSO und Horizon Cloud.

Einrichten der erforderlichen Zertifikatvorlagen für True SSO mit Horizon Cloud

Die True SSO-Funktion erfordert die Konfiguration der Zertifikatvorlagen auf der Microsoft Enterprise-Zertifizierungsstelle, die Sie für die Verwendung mit True SSO und Ihrem Horizon Edge bereitstellen.

Die Zertifikatvorlagen sind die Basis für die Zertifikate, die die Microsoft Enterprise-Zertifizierungsstelle für die Verwendung mit True SSO generiert.

Die Registrierungsdienstkonten benötigen die Berechtigungen Lesen und Registrieren für die beiden Vorlagen TrueSsoEnrollmentAgent und TrueSso.

Voraussetzungen

  • Stellen Sie sicher, dass Sie über die für die True SSO-Funktion erforderlichen Instanzen der Microsoft Enterprise-Zertifizierungsstelle (AD CS) verfügen, wie unter Unterstützte Zertifizierungsstellentypen für die Verwendung von SSO mit einem Horizon Edge in Microsoft Azure beschrieben.
  • Konfigurieren Sie Ihre Firewall so, dass die bereitgestellten Horizon Edges mit den Zertifizierungsstelleninstanzen mit der erforderlichen Protokoll- und Portkombination kommunizieren können, wie unter Port- und -Protokollanforderungen für Ihre Horizon Cloud-Bereitstellung in Microsoft Azure beschrieben.

    Die Kommunikation erfolgt über die Active Directory-Zertifikatdienste (AD CS) der Instanzen. Das erforderliche Protokoll ist RPC/TCP (RPC über TPC). Der erste Port ist Port 135 und der zweite Port liegt im Bereich von 49152 bis 65535.

  • Für eine firewallfreundlichere Konfiguration können Sie Ihre Instanzen der Microsoft Enterprise-Zertifizierungsstelle (AD CS) so konfigurieren, dass sie einen statischen DCOM-Port verwenden, und die Firewall so konfigurieren, dass sie den Port 135 und den von Ihnen gewählten statischen DCOM-Port zulässt, wobei dieser statische Port auf allen Instanzen identisch sein muss. Diese Konfiguration wird im Microsoft TechNet-Artikel How to Configure a Static DCOM Port for AD CS beschrieben.
Hinweis: Die folgenden Schritte wurden mit einer Microsoft Enterprise-Zertifizierungsstelle unter dem Betriebssystem Microsoft Windows Server 2016 Standard durchgeführt. Die Screenshots in den Schritten wurden von diesem System aufgenommen. Daher beziehen sich die in den Schritten erwähnten Bezeichnungen und die Screenshots auf dieses Betriebssystem. Wenn Ihre Microsoft Enterprise-Zertifizierungsstelle eine andere Betriebssystemversion von Windows Server ausführt, werden Sie möglicherweise geringfügige Unterschiede in Ihrem System im Vergleich zu den Bezeichnungen und Screenshots unten feststellen.

Prozedur

  1. Erstellen Sie eine neue universelle Sicherheitsgruppe in Active Directory.
    Durch Erstellen dieser Gruppe können Sie eine einzelne Sicherheitsgruppe verwenden, der Sie die erforderlichen Berechtigungen für die Ausstellung von Zertifikaten im Namen von Benutzern zuweisen können. Dann können alle Registrierungsdienstkonten diese erforderlichen Berechtigungen durch eine Mitgliedschaft in dieser Gruppe erben.
    1. Öffnen Sie das Tool Active Directory-Benutzer und ‑Computer über das Menü Extras des Server-Managers oder durch Ausführen des Befehls dsa.msc.
    2. Erstellen Sie im Tool Active Directory-Benutzer und ‑Computer eine neue Gruppe für die Domänenregistrierungskonten, die True SSO benötigt.
      Geben Sie der Gruppe einen Namen Ihrer Wahl, z. B. True SSO-Registrierungskonten. Legen Sie auch Folgendes fest:
      Einstellung Wert
      Gruppenbereich Universal
      Gruppentyp Sicherheit
    3. Klicken Sie auf OK, um die neue Gruppe zu speichern.
    4. Fügen Sie dann die Domänenregistrierungskonten als Mitglieder dieser neuen Gruppe hinzu.
      Fügen Sie alle Domänendienstkonten für die Registrierung hinzu, die Sie für die Verwendung von True SSO verwenden werden.

      Diese Konten sind dieselben, die Sie im UI-Flow für die Domänenregistrierung über die Horizon Universal Console hinzugefügt haben, wie unter Einrichten Ihrer Active Directory-Domäne beschrieben.

  2. Konfigurieren Sie die Zertifikatvorlage des True SSO-Registrierungs-Agents mit dem Zertifizierungsstellen-Tool und der dazugehörigen Konsole für Zertifikatvorlagen.
    1. Öffnen Sie das Zertifizierungsstellen-Tool.
      Sie können dieses Tool über das Menü Extras des Server-Managers, die Windows-Verwaltungsprogramme im Startmenü oder durch Ausführen von certsrv.msc öffnen.
    2. Erweitern Sie in der linken Struktur des Zertifizierungsstellen-Tools den Namen der lokalen Zertifizierungsstelle, bis der Ordner „Zertifikatvorlagen“ angezeigt wird.
    3. Öffnen Sie die Konsole für Zertifikatvorlagen, indem Sie mit der rechten Maustaste auf den Ordner „Zertifikatvorlagen“ klicken und Verwalten auswählen.
      Der folgende Screenshot veranschaulicht diesen Schritt auf einem System unter Windows Server 2016.
      Screenshot des Menüs „Verwalten“ im Ordner „Zertifikatvorlagen“ im Zertifizierungsstellen-Tool
      Die Zertifikatvorlagenkonsole wird angezeigt.
    4. Klicken Sie mit der rechten Maustaste auf die Registrierungs-Agent-Vorlage und wählen Sie Vorlage duplizieren aus.
      Der folgende Screenshot veranschaulicht diesen Schritt auf einem System unter Windows Server 2016.
      Screenshot des Kontextmenüs auf den Registrierungs-Agent und die Menüoption „Vorlage duplizieren“
      Das Fenster Eigenschaften der neuen Vorlage wird angezeigt.
    5. Geben Sie Informationen auf den Registerkarten des Fensters ein, wie in den folgenden Abschnitten beschrieben.
      Hinweis: Die folgenden Screenshots wurden mit einer Microsoft Enterprise-Zertifizierungsstelle unter dem Betriebssystem Microsoft Windows Server 2016 Standard aufgenommen. Wenn Ihre Microsoft Enterprise-Zertifizierungsstelle eine andere Betriebssystemversion von Windows Server ausführt, sehen Sie möglicherweise geringfügige Unterschiede in der Benutzeroberfläche in Ihrem Windows-System.
      Registerkarte „Allgemein“
      Wichtig: Verwenden Sie in den Namen Ihrer True SSO-Vorlagen nur ASCII-Zeichen. Aufgrund eines bekannten Problems können Sie True SSO-Vorlagennamen, die Nicht-ASCII- oder erweiterte ASCII-Zeichen enthalten, nicht erfolgreich mit Ihrer Horizon Cloud-Umgebung konfigurieren.
      Vorlagenanzeigename
      Geben Sie einen Namen ein, der angibt, dass diese neue Vorlage für den True SSO-Registrierungs-Agent bestimmt ist, z. B. True SSO-Registrierungs-Agent.
      Vorlagenname
      Wenn Sie den obigen Vorlagenanzeigenamen eingeben, trägt das Tool diesen Namen automatisch hier ein, damit er mit Ihrer Eingabe für Vorlagenanzeigename ohne Leerzeichen übereinstimmt.

      Wenn Sie beispielsweise True SSO-Registrierungs-Agent in Vorlagenanzeigename eingeben, legt das Tool diesen Vorlagenanzeigenamen automatisch auf TrueSsoEnrollmentAgent fest.

      Der folgende Screenshot veranschaulicht diese Registerkarte nach der Eingabe von True SSO-Registrierungs-Agent als Vorlagenanzeigename.


      Screenshot der Registerkarte „Allgemein“ mit „True SSO-Registrierungs-Agent“ eingegeben als Vorlagenanzeigenamen
      Registerkarte „Sicherheit“
      Erteilen Sie auf der Registerkarte Sicherheit der neuen universellen Sicherheitsgruppe, die Sie für die True SSO-Registrierungskonten erstellt haben, die Berechtigungen Read und Enroll.
      1. Fügen Sie im Abschnitt Gruppen- oder Benutzernamen die Gruppe hinzu, die Sie für die True SSO-Registrierungskonten erstellt haben.
      2. Wählen Sie diese Gruppe aus und wählen Sie im Abschnitt „Berechtigungen“ Zulassen für die Berechtigungen Read und Enroll aus.

      Screenshot der Registerkarte „Sicherheit“ nach dem Hinzufügen der universellen Sicherheitsgruppe und dem Festlegen der Berechtigungen.
    6. Speichern Sie die neue True SSO-Registrierungs-Agent-Vorlage, indem Sie im Fenster Eigenschaften der neuen Vorlage auf OK klicken.
    Die neue True SSO-Registrierungs-Agent-Vorlage wird in der Zertifikatvorlagenkonsole aufgelistet, mit dem von Ihnen vergebenen Vorlagenanzeigenamen und dem angezeigten Zweck als Zertifikatanforderungs-Agent.

    Der folgende Screenshot veranschaulicht die neu aufgelistete Vorlage.


    Screenshot der neuen True SSO-Registrierungs-Agent-Vorlage in der Liste mit einem grünen Pfeil, der auf sie zeigt.
  3. Konfigurieren Sie in derselben Zertifikatvorlagenkonsole die Vorlage „True SSO-Smartcard-Anmeldung“.
    1. Klicken Sie in der Zertifikatvorlagenkonsole mit der rechten Maustaste auf die aufgelistete Vorlage Smartcard-Anmeldung und wählen Sie Vorlage duplizieren aus.
      Der folgende Screenshot veranschaulicht diesen Schritt auf einem System unter Windows Server 2016.
      Screenshot des Menüs der Vorlage „Smartcard-Anmeldung“ und der Option „Vorlage duplizieren“.
      Das Fenster Eigenschaften der neuen Vorlage wird angezeigt.
    2. Geben Sie Informationen auf den Registerkarten des Fensters ein, wie in den folgenden Abschnitten beschrieben.
      Vorsicht:

      Stellen Sie sicher, dass Sie diese Punkte befolgen, da das System Sie sonst daran hindert, die erforderlichen Werte einzustellen, und Sie zwingt, Ihre Schritte abzubrechen und erneut durchzuführen. Diese Anforderung ist ein Verhalten des Windows-Systems.

      • Klicken Sie im Fenster „Eigenschaften“ nicht auf Übernehmen und OK, bevor Sie die erforderlichen Einstellungen auf den drei Registerkarten, wie im folgenden Punkt beschrieben, in der vorgeschriebenen Reihenfolge vorgenommen haben.

        Wenn Sie diese Anleitung zur Konfiguration der Einstellungen auf den drei Registerkarten wie unten beschrieben nicht befolgen, bevor Sie „Übernehmen“ oder „Speichern“ im Fenster wählen, setzt Windows die Anbieterkategorie auf der Registerkarte „Kryptografie“ auf schreibgeschützt, und die Einstellung kann später nicht in die für True SSO erforderliche Schlüsselspeicheranbieter-Einstellung geändert werden.

        Daher müssen Sie sicherstellen, dass Sie die Konfiguration auf den folgenden drei Registerkarten in genau der unten angegebenen Reihenfolge abschließen, bevor Sie „Übernehmen“ oder „Speichern“ im Fenster wählen.

      • Konfigurieren Sie diese Registerkarten als erste, und konfigurieren Sie sie in dieser Reihenfolge:
        1. Registerkarte Kompatibilität
        2. Registerkarte Allgemein
        3. Registerkarte Kryptografie

      Der Grund für diese vorgeschriebene Reihenfolge ist, dass das System beim Ändern der Einstellungen auf der Registerkarte „Kompatibilität“ die entsprechenden Optionen auf den anderen Registerkarten dynamisch verfügbar macht. Wenn Sie im Fenster auf „Übernehmen“ oder „Speichern“ klicken, bevor Sie die Registerkarte „Kryptografie“ aktualisiert haben, können Sie die für True SSO erforderliche Konfiguration nicht einstellen. Stellen Sie daher sicher, dass Sie die Einstellungen auf den Registerkarten in der oben und unten aufgeführten Reihenfolge konfigurieren, bevor Sie „Übernehmen“ oder „Speichern“ im Fenster wählen.

      Registerkarte „Kompatibilität“
      Hinweis: Sie müssen diese Auswahl auf der Registerkarte Kompatibilität vornehmen, damit die entsprechenden Optionen auf der Registerkarte Kryptografie zur Verfügung stehen.
      • Aktivieren Sie das Kontrollkästchen Resultierende Änderungen anzeigen.
      • Zertifizierungsstelle – Das System zeigt die Auswahlmöglichkeiten an, die Microsoft Windows für diese Einstellung zur Verfügung stellt. Um die Anforderungen von True SSO zu erfüllen, wählen Sie entweder die Option Windows Server 2008 R2 oder eine der im Menü aufgeführten höheren Versionen.
      • Zertifikatsempfänger – Das System zeigt die Auswahlmöglichkeiten an, die Microsoft Windows für diese Einstellung zur Verfügung stellt. Um die Anforderungen von True SSO zu erfüllen, wählen Sie entweder die Option Windows 7 / Server 2008 R2 oder eine der im Menü aufgeführten höheren Versionen.

      Screenshot der Registerkarte „Kompatibilität“.
      Registerkarte „Allgemein“
      Wichtig: Verwenden Sie in den Namen Ihrer True SSO-Vorlagen nur ASCII-Zeichen. Aufgrund eines bekannten Problems können Sie True SSO-Vorlagennamen, die Nicht-ASCII- oder erweiterte ASCII-Zeichen enthalten, nicht erfolgreich mit Ihrer Horizon Cloud-Umgebung konfigurieren.
      Vorlagenanzeigename
      Geben Sie einen Namen ein, der angibt, dass diese neue Vorlage von True SSO verwendet werden soll, z. B. True SSO.
      Vorlagenname
      Wenn Sie den obigen Vorlagenanzeigenamen eingeben, trägt das Tool diesen Namen automatisch hier ein, damit er mit Ihrer Eingabe für Vorlagenanzeigename ohne Leerzeichen übereinstimmt.

      Wenn Sie beispielsweise True SSO als Vorlagenanzeigename eingeben, legt das Tool diesen Vorlagenanzeigenamen automatisch auf TrueSSO fest.

      Gültigkeitsdauer
      1 Stunde (eine Stunde)
      Erneuerungszeitraum
      0 Wochen (Null Wochen)

      Der folgende Screenshot veranschaulicht diese Registerkarte nach der Eingabe von True SSO als Vorlagenanzeigename.


      Screenshot der Registerkarte „Allgemein“ nach Eingabe von „True SSO“ in das Feld „Vorlagenanzeigename“.
      Registerkarte „Kryptografie“
      • Anbieterkategorie – Schlüsselspeicheranbieter
      • Name des Algorithmus – RSA
      • Minimale Schlüsselgröße – 2048
      • Aktivieren Sie das Optionsfeld Verwendung aller auf dem Computer des Antragstellers verfügbaren Anbieter für Anforderungen möglich.
      • Anforderungshash – SHA384

      Screenshot der Registerkarte „Kryptografie“
      Registerkarte „Anforderungsverarbeitung“
      • Zweck – Signatur und Smartcard-Anmeldung
      • Aktivieren Sie das KontrollkästchenVorhandenen Schlüssel für automatische Erneuerung von Smartcard-Zertifikaten verwenden, falls Erstellung eines neuen Schlüssels nicht möglich ist.
      • Aktivieren Sie das Optionsfeld Benutzer zur Eingabe während der Registrierung auffordern.

      Screenshot der Registerkarte „Anforderungsverarbeitung“
      Registerkarte „Antragstellername“
      • Aktivieren Sie das Optionsfeld Aus diesen Informationen in Active Directory erstellen.
      • Format des Antragstellernamen – Vollständiger definierter Name
      • Aktivieren Sie das Kontrollkästchen Benutzerprinzipalname (UPN).

      Screenshot der Registerkarte „Antragstellername“
      Registerkarte „Server“
      Aktivieren Sie das Kontrollkästchen Keine Zertifikate und Anforderungen in der Db der Zertifizierungsstelle speichern.
      Wichtig: Stellen Sie sicher, dass Sie das zweite Kontrollkästchen mit der Bezeichnung Sperrinformationen nicht in ausgestellte Zertifikate einschließen deaktivieren.

      Wenn Sie das erste Kontrollkästchen aktivieren, wählt das System automatisch das Kontrollkästchen Sperrinformationen nicht in ausgestellte Zertifikate einschließen.

      Stellen Sie sicher, dass Sie dieses zweite Kontrollkästchen Sperrinformationen nicht in ausgestellte Zertifikate einschließen deaktivieren.


      Screenshot der Registerkarte „Server“
      Registerkarte „Ausstellungsvoraussetzungen“
      • Registrierung erfordert Folgendes – Wählen Sie Diese Anzahl an autorisierten Signaturen und geben Sie 1 ein.
      • Erforderlicher Richtlinientyp für Signatur – Anwendungsrichtlinie
      • Anwendungsrichtlinie – Zertifikatsanforderungs-Agent
      • Für die erneute Registrierung Folgendes voraussetzen – Gültiges vorhandenes Zertifikat

      Screenshot der Registerkarte „Ausstellungsvoraussetzungen“ mit grünen Pfeilen, die auf die Schlüsseleinstellungen zeigen.
      Registerkarte „Sicherheit“
      Erteilen Sie auf der Registerkarte Sicherheit der neuen universellen Sicherheitsgruppe, die Sie für die True SSO-Registrierungskonten erstellt haben, die Berechtigungen Read und Enroll.
      1. Fügen Sie im Abschnitt Gruppen- oder Benutzernamen die Gruppe hinzu, die Sie für die True SSO-Registrierungskonten erstellt haben.
      2. Wählen Sie diese Gruppe aus und wählen Sie im Abschnitt „Berechtigungen“ Zulassen für die Berechtigungen Read und Enroll aus.

      Screenshot der Registerkarte „Sicherheit“ nach dem Hinzufügen der universellen Sicherheitsgruppe und dem Festlegen der Berechtigungen.
    3. Schließen Sie das Speichern dieser neuen True SSO-Vorlage ab, indem Sie im Fenster Eigenschaften der neuen Vorlage auf OK klicken.
    Die neue True SSO-Vorlage wird in der Zertifikatvorlagenkonsole aufgelistet, mit dem von Ihnen vergebenen Vorlagenanzeigenamen und mit dem angezeigten Zweck der Client-Authentifizierung, der Smartcard-Anmeldung.

    Der folgende Screenshot veranschaulicht die neu aufgelistete Vorlage.


    Screenshot der in der Liste angezeigten True SSO-Vorlage
  4. Nun können Sie die Zertifikatvorlagenkonsole schließen und zum Zertifizierungsstellen-Tool zurückkehren.
  5. Stellen Sie die Vorlage für True SSO aus.
    1. Klicken Sie im Zertifizierungsstellen-Tool mit der rechten Maustaste auf den Ordner „Zertifikatvorlagen“ und wählen Sie Neu > Auszustellende Zertifikatvorlage aus.
      Der folgende Screenshot veranschaulicht diesen Schritt auf einem System unter Windows Server 2016.
      Screenshot der Menüoption „Auszustellende Zertifikatvorlage“ und der grünen Pfeile, die auf den Ordner „Zertifikatvorlagen“ und das Menü „Neu“ zeigen.
      Das Fenster „Zertifikatvorlagen aktivieren“ wird angezeigt.
    2. Wählen Sie die in den vorherigen Schritten erstellte True SSO-Vorlage aus und klicken Sie auf OK.
      Der folgende Screenshot veranschaulicht diesen Schritt auf einem System unter Windows Server 2016.
      Screenshot des Fensters „Zertifikatvorlagen aktivieren“ mit einem grünen Pfeil, der auf die ausgewählte True SSO-Vorlage in der Liste zeigt.
    Wichtig: Sie müssen diese Aktionen auf jeder Instanz der Microsoft Enterprise-Zertifizierungsstelle ausführen, die Sie für die True SSO-Funktion verwenden möchten.
  6. Wiederholen Sie den gleichen Ausstellungsschritt für die Vorlage „True SSO-Registrierungs-Agent“.
    1. Klicken Sie im Zertifizierungsstellen-Tool mit der rechten Maustaste auf den Ordner „Zertifikatvorlagen“ und wählen Sie Neu > Auszustellende Zertifikatvorlage aus.

      Screenshot der Menüoption „Auszustellende Zertifikatvorlage“ und der grünen Pfeile, die auf den Ordner „Zertifikatvorlagen“ und das Menü „Neu“ zeigen.
      Das Fenster „Zertifikatvorlagen aktivieren“ wird angezeigt.
    2. Wählen Sie die Vorlage „True SSO-Registrierungs-Agent“ aus, die Sie in den vorherigen Schritten erstellt haben, und klicken Sie auf OK.
      Der folgende Screenshot veranschaulicht diesen Schritt auf einem System unter Windows Server 2016.
      Screenshot des Fensters „Zertifikatvorlagen aktivieren“ und ein grüner Pfeil, der auf die Vorlage „True SSO-Registrierungs-Agent“ in der Liste zeigt.
      Wichtig: Sie müssen diese Aktionen für jede Instanz der Microsoft Enterprise-Zertifizierungsstelle ausführen, die Sie für True SSO verwenden möchten.
    Die Microsoft Enterprise-Zertifizierungsstelle ist jetzt eingerichtet und mit den Zertifikatvorlagen konfiguriert, die für die Verwendung mit der True SSO-Funktion erforderlich sind.