Ověřování klienta TLS pomocí Internetové informační služby (IIS)

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Tato příručka popisuje konfiguraci Internetové informační služby (IIS) systému Windows pro ověřování klientů TLS, které mapuje uživatele na místní uživatelské účty.

Jako příklad je uvedena konfigurace s webem Default Web Site služby IIS. Tuto konfiguraci lze použít i pro jiné weby, včetně výchozího webu nebo bez něj.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • Server systému Windows (webový server)

    • DNS record

    • certifikát TLS pro záznam DNS. Klientské počítače musí tomuto certifikátu TLS důvěřovat.

Instalace

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Postupujte podle průvodce až ke kroku Role serveru.

  4. Ze seznamu dostupných rolí vyberte roli Web Server (IIS).

  5. Postupujte podle průvodce až ke kroku Služby rolí v části Role webového serveru (IIS).

  6. Ze seznamu služeb rolí vyberte Webový server → Zabezpečení → Ověřování mapováním klientských certifikátů IIS.

  7. Postupujte podle průvodce instalací. Instalace musí být dokončena, abyste mohli začít s konfigurací.

Konfigurace

  1. Otevřete správce Internet Information Services (IIS) (InetMgr.exe).

  2. Ve stromovém zobrazení Connections vlevo vyberte a rozbalte webový server, který chcete konfigurovat.

  3. V prostředním podokně otevřete stránku Configuration Editor. Otevřete sekci system.webServer/security/authentication/iisClientCertificateMappingAuthentication a odemkněte ji kliknutím na Odemknout sekci v panelu Akce vpravo.

  4. Rozbalte položku Sites pod webovým serverem a vyberte web, který chcete nakonfigurovat.

  5. V podokně Akce vpravo klikněte na Vazby….

  6. Klikněte na Add…, čímž se zobrazí editor vazeb. Nastavte typ na https a název hostitele podle záznamu DNS a atributu Subject Alternative Name (SAN) certifikátu TLS. Aktivujte zaškrtávací políčko Disable TLS 1.3 over TCP. V poli SSL certifikát vyberte příslušný certifikát. Konfiguraci potvrďte kliknutím na OK.

    Tip

    Požadavek na vypnutí protokolu TLS 1.3 a pokyny ke konfiguraci, jak jej používat s povoleným protokolem TLS 1.3, naleznete v tomto příspěvku na blogu podpory společnosti Microsoft.

  7. V prostředním panelu otevřete stránku SSL Settings. Aktivujte zaškrtávací políčko Vyžadovat SSL a přepínač pod Klientské certifikáty nastavte na Vyžadovat. Konfiguraci potvrďte kliknutím na Apply v pravém panelu Actions.

  8. V prostředním podokně otevřete stránku Ověřování. Ujistěte se, že všechny ostatní metody ověřování jsou pro web deaktivovány. V tomto seznamu nebude nikdy viditelné Ověřování mapováním klientského certifikátu IIS. Přejděte zpět do kořenového adresáře webu.

    Důležité

    Pokud je povolen jiný typ ověřování, mapování klientského certifikátu nebude fungovat.

  9. V prostředním podokně otevřete stránku Configuration Editor. Otevřete sekci system.webServer/security/authentication/iisClientCertificateMappingAuthentication z ApplicationHost.config <location path='Default web site'/>. Nastavte klíč enabled na True a ujistěte se, že je povolen jeden nebo oba klíče manyToOneCertificateMappingsEnabled a oneToOneCertificateMappingsEnabled.

  10. Mapování uživatelů musí být zapsáno do klíčů manyToOneMappings nebo oneToOneMappings. Příslušný klíč, který se má použít, závisí na požadovaném mapování, které se má použít. Informace o mapování a podrobnější vysvětlení konfigurace najdete na Microsoft Learn.

    Chcete-li změnit klíč, klikněte na tlačítko na konci textového pole hodnoty. Tím se otevře editor kolekce ** . Pro vytvoření nového mapování klikněte na Add v panelu Actions vpravo.

    1. Mapování z mnoha na jeden

      Vyplňte pole podle následující tabulky.

      Key

      Hodnota

      enabled

      True

      name

      <name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      Pole name slouží jako identifikátor kolekce a pole userName a password vyžadují uživatelské jméno a heslo místního uživatele, na kterého chcete mapovat. Pole rules musí obsahovat popis povolených nebo zakázaných certifikátů. Chcete-li změnit klíč pravidel, klikněte na tlačítko na konci textového pole hodnoty. Tím se otevře nové okno editoru kolekcí. Pro vytvoření nového pravidla klikněte na Přidat v pravém panelu Akce.

      Vyplňte pole podle následující tabulky.

      Key

      Hodnota

      certificateField

      Subject

      certificateSubField

      O

      compareCaseSensitive

      True

      matchCriteria

      <criteria-value-of-o-field-in-certificate-subject>

      Zavřete okna editoru sbírky ** .

    2. Mapování One to One

      Vyplňte pole podle následující tabulky.

      Key

      Hodnota

      certificate

      <base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Certifikát v kódování Base64 pro pole certificate lze získat z klíče Nitrokey pomocí příkazu Nitropy a příkazu nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Pole userName a password vyžadují uživatelské jméno a heslo místního uživatele, na kterého se mají mapovat.

      Zavřete okno Editoru kolekcí ** .

    Konfiguraci potvrďte kliknutím na Apply na panelu Actions vpravo.

Web je nyní nakonfigurován pro ověřování klienta TLS pomocí mapování místních uživatelských účtů.