TLS-klientgodkendelse med Windows Internet Information Services (IIS) og Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Denne vejledning beskriver konfigurationen af Windows Internet Information Services (IIS) til TLS-klientgodkendelse, der tildeler brugere til Active Directory-konti.

Den viser konfigurationen som et eksempel med Default Web Site i IIS. Konfigurationen kan også bruges til andre websteder, inklusive eller eksklusive standardwebstedet, men konfigurationen af TLS-understøttelse gælder for hele serveren.

Prerequisits

  • Vellykket opsætning af smartcard-klientlogon, se kapitel Klientlogon med Active Directory. Brugere skal have et gyldigt godkendelsescertifikat på en Nitrokey.

  • Windows Server (webserver)

    • Tilsluttet et Active Directory-domæne.

    • DNS-poster eller værtsnavne skal være mulige at løse via DNS for klienterne.

    • TLS-certifikat til DNS-posten. Klientcomputere skal have tillid til dette TLS-certifikat.

Installation

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Følg guiden til trinnet Serverroller.

  4. Vælg rollen Web Server (IIS) på listen over tilgængelige roller.

  5. Følg guiden til trinnet Roles Services under Web Server Role (IIS).

  6. På listen over rolletjenester skal du vælge Webserver → Sikkerhed → Klientcertifikattilknytning Godkendelse.

  7. Følg guiden til installationen. Installationen skal være færdig, før du kan begynde at konfigurere den.

Konfiguration

  1. Åbn Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Vælg og udvid den webserver, du vil konfigurere, i trævisningen Connections til venstre.

  3. I den midterste rude åbnes Authentication. Vælg Active Directory Client Certificate Authentication og aktiver den ved at klikke på Enable i Actions i højre side.

  4. Udvid Sites under webserveren, og vælg det site, du vil konfigurere.

  5. Klik på Bindinger… i ruden Handlinger til højre.

  6. Klik på Add…, hvilket bringer bindingseditoren frem. Indstil typen til https og værtsnavnet i henhold til DNS-posten og TLS-certifikatets Subject Alternative Name (SAN)-attribut. Aktivér afkrydsningsfeltet Disable TLS 1.3 over TCP. I feltet SSL-certifikat vælges det pågældende certifikat. Bekræft konfigurationen med et klik på OK.

    Tip

    For at forstå kravet om at deaktivere TLS 1.3 og for at få en konfigurationsvejledning til, hvordan man bruger det med aktiveret TLS 1.3, henvises til dette Microsoft Support blogindlæg.

  7. Fra den midterste rude åbnes SSL Settings. Aktivér afkrydsningsfeltet Require SSL, og alternativknappen under Client certificates sættes til Require. Bekræft konfigurationen ved at klikke på Apply i ruden Actions til højre.

  8. Fra den midterste rude åbnes Authentication. Sørg for, at alle andre godkendelsesmetoder er deaktiveret for webstedet. * Active Directory Client Certificate Authentication* vil aldrig være synlig på denne liste.

    Vigtigt

    Hvis en anden type godkendelse er aktiveret, vil klientcertifikattilknytningen ikke fungere.

Webstedet er nu konfigureret til TLS-klientgodkendelse ved hjælp af Active Directory-brugerkontotilknytning.