Удостоверяване на TLS клиенти с Internet Information Services (IIS) и Active Directory на Windows

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Това ръководство описва конфигурацията на Windows Internet Information Services (IIS) за TLS клиентско удостоверяване, което съпоставя потребителите с акаунти в Active Directory.

Той показва конфигурацията като пример с Default Web Site на IIS. Конфигурацията може да се използва и за други сайтове, включително или без сайта по подразбиране, но конфигурацията на TLS поддръжката е за целия сървър.

Prerequisits

  • Успешна настройка на клиентския вход със смарт карта, вижте глава Клиентски вход с Active Directory. Потребителите трябва да имат валиден сертификат за удостоверяване на Nitrokey.

  • Windows Server (уеб сървър)

    • Присъединен към домейн на Active Directory.

    • DNS записът или името на хоста трябва да могат да бъдат разрешени от клиентите чрез DNS.

    • TLS сертификат за DNS записа. Клиентските компютри трябва да се доверят на този TLS сертификат.

Инсталиране на приложението Nitrokey

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Следвайте съветника до стъпката Роли на сървъра.

  4. Изберете ролята Web Server (IIS) от списъка с наличните роли.

  5. Следвайте съветника до стъпката Роли Услуги под Роля на уеб сървър (IIS).

  6. От списъка с ролеви услуги изберете Web Server → Security → Client Certificate Mapping Authentication.

  7. Следвайте съветника за инсталиране. Инсталацията трябва да бъде завършена, преди да можете да започнете да я конфигурирате.

Статична конфигурация на DNS

  1. Отворете мениджъра на Internet Information Services (IIS) (InetMgr.exe).

  2. Изберете и разширете уеб сървъра, който искате да конфигурирате, в дървовидния изглед Connections вляво.

  3. В средния панел отворете Удостоверяване. Изберете Active Directory Client Certificate Authentication (Удостоверяване на клиентски сертификат на Active Directory) и го разрешете с щракване върху Enable (Разрешаване) в панела Actions (Действия) вдясно.

  4. Разширете Sites под уеб сървъра и изберете сайта, който искате да конфигурирате.

  5. В прозореца Actions вдясно щракнете върху Bindings….

  6. Щракнете върху Add…, за да се появи редакторът на връзките. Задайте типа на https и името на хоста в съответствие с DNS записа и атрибута Subject Alternative Name (SAN) на TLS сертификата. Активирайте квадратчето за отметка Disable TLS 1.3 over TCP. В полето SSL сертификат изберете съответния сертификат. Потвърдете конфигурацията с щракване върху OK.

    Tip

    За да разберете изискването за деактивиране на TLS 1.3 и за инструкции за конфигуриране как да го използвате с активиран TLS 1.3, направете справка с тази публикация в блога Microsoft Support.

  7. В средния панел отворете SSL Settings. Активирайте квадратчето за отметка Require SSL (Изискване за SSL), а радио бутонът под Client certificates (Клиентски сертификати) е зададен на Require (Изискване за SSL). Потвърдете конфигурацията с щракване върху Apply в панела Actions вдясно.

  8. В средния панел отворете Удостоверяване. Уверете се, че всички други методи за удостоверяване са деактивирани за сайта. В този списък никога няма да се вижда Active Directory Client Certificate Authentication.

    Important

    Ако е разрешен друг тип удостоверяване, картографирането на клиентския сертификат няма да работи.

Сайтът вече е конфигуриран за TLS клиентско удостоверяване с помощта на картографиране на потребителски акаунти в Active Directory.