Windows Server2008 ADFS配置攻略（3）

第2步：安装 AD FS 角色服务，配置证书

现在我们已经配置好计算机并且将它们加入到域中，同时对于每台服务器我们也已经安装好了ADFS组件。

1)安装同盟服务

两台计算机上安装同盟服务，安装完成后，这两台计算机就变成了同盟服务器。下面的操作将会引导我们创建一个新的信任策略文件以及SSL和证书：

点击Start ，选择 Administrative Tools ，点击 Server Manager。右击 Manage Roles， 选中Add roles 启动添加角色向导。在Before You Begin 页面点击 Next。在 Select Server Roles 页选择 Active Directory Federation Services 点击Next 。在Select Role Services 选择 Federation Service 复选框，如果系统提示用户安装 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服务，那么点击 Add Required Role Services 添加它们，完成后点击 Next 。在 Choose a Certificate for SSL Encryption 页面点击 Create a self-signed certificate for SSL encryption, 点击 Next 继续，在 Choose Token-Signing Certificate 页面点击Create a self-signed token-signing certificate, 点击 Next. 接下来的Select Trust Policy 页面选择 Create a new trust policy,下一步进入 Select Role Services 页面点击 Next 来确认默认值。在 Confirm Installation Options 校验完信息后，就可以点击Install 开始安装了。

2)将本地系统帐户分配到 ADFSAppPool identity

点击Start ，在 Administrative Tools中的 Internet Information Services (IIS) Manager中，双击ADFSRESOURCE 或者 ADFSACCOUNT ，选择 Application Pools ，在中心面板上右击ADFSAppPool ，选择Set Application Pool Defaults.在Identity Type, 点击 LocalSystem ，然后选择 OK。

3)安装 AD FS Web 代理

在 Administrative Tools中 Server Manager 右击 Manage Roles ，选择 Add roles ，根据向导在Select Server Roles 页面选择 Active Directory Federation Services.，点击Next 后在 Select Role Services 窗口中选择 Claims-aware Agent 复选框。如果向导提示用户安装 Web Server (IIS) 或者 Windows Activation Service (WAS) 角色服务,那么点击 Add Required Role Services 来完成安装。完成后在Select Role Services 页面,选择 Client Certificate Mapping Authentication 复选框(要想实现这步操作，IIS需要创建一个self-signed 服务认证。)，验证完信息后，就可以开始安装了。

要想成功的设置Web服务器和同盟服务器，还有一个重要的环节就是证书的创建和导入导出。前面我们已经使用角色添加向导为同盟服务器之间创建了服务器授权认证，剩下要做的就是为adfsweb计算机创建对应的授权认证。由于篇幅有限在此就不作详细介绍，相关内容可以查询系列中证书相关的文章。