Ověřování klienta TLS pomocí Internetové informační služby (IIS) a služby Active Directory systému Windows

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Tato příručka popisuje konfiguraci Internetové informační služby (IIS) systému Windows pro ověřování klientů TLS, které mapuje uživatele na účty služby Active Directory.

Jako příklad je uvedena konfigurace s webem Default Web Site služby IIS. Tuto konfiguraci lze použít i pro jiné weby, včetně výchozího webu nebo bez něj, ale konfigurace podpory TLS se týká celého serveru.

Prerequisits

  • Úspěšné nastavení přihlašování klienta s čipovou kartou, viz kapitola Přihlašování klienta pomocí služby Active Directory. Uživatelé musí mít platný ověřovací certifikát na Nitrokey.

  • Server systému Windows (webový server)

    • Připojení k doméně služby Active Directory.

    • Záznam DNS nebo název hostitele musí být pro klienty možné přeložit prostřednictvím DNS.

    • certifikát TLS pro záznam DNS. Klientské počítače musí tomuto certifikátu TLS důvěřovat.

Instalace

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Postupujte podle průvodce až ke kroku Role serveru.

  4. Ze seznamu dostupných rolí vyberte roli Web Server (IIS).

  5. Postupujte podle průvodce až ke kroku Služby rolí v části Role webového serveru (IIS).

  6. V seznamu služeb rolí vyberte Web Server → Zabezpečení → Ověřování mapováním klientských certifikátů.

  7. Postupujte podle průvodce instalací. Instalace musí být dokončena, abyste mohli začít s konfigurací.

Konfigurace

  1. Otevřete správce Internet Information Services (IIS) (InetMgr.exe).

  2. Ve stromovém zobrazení Connections vlevo vyberte a rozbalte webový server, který chcete konfigurovat.

  3. V prostředním podokně otevřete stránku Ověřování. Vyberte Ověřování klientských certifikátů služby Active Directory a povolte je kliknutím na Povolit v podokně Akce vpravo.

  4. Rozbalte položku Sites pod webovým serverem a vyberte web, který chcete nakonfigurovat.

  5. V podokně Akce vpravo klikněte na Vazby….

  6. Klikněte na Add…, čímž se zobrazí editor vazeb. Nastavte typ na https a název hostitele podle záznamu DNS a atributu Subject Alternative Name (SAN) certifikátu TLS. Aktivujte zaškrtávací políčko Disable TLS 1.3 over TCP. V poli SSL certifikát vyberte příslušný certifikát. Konfiguraci potvrďte kliknutím na OK.

    Tip

    Požadavek na vypnutí protokolu TLS 1.3 a pokyny ke konfiguraci, jak jej používat s povoleným protokolem TLS 1.3, naleznete v tomto příspěvku na blogu podpory společnosti Microsoft.

  7. V prostředním panelu otevřete stránku SSL Settings. Aktivujte zaškrtávací políčko Vyžadovat SSL a přepínač pod Klientské certifikáty nastavte na Vyžadovat. Konfiguraci potvrďte kliknutím na Apply v pravém panelu Actions.

  8. V prostředním podokně otevřete stránku Ověřování. Ujistěte se, že všechny ostatní metody ověřování jsou pro web deaktivovány. V tomto seznamu nebude nikdy viditelné Ověřování pomocí certifikátu klienta služby Active Directory.

    Důležité

    Pokud je povolen jiný typ ověřování, mapování klientského certifikátu nebude fungovat.

Web je nyní nakonfigurován pro ověřování klienta TLS pomocí mapování uživatelských účtů služby Active Directory.