TLS-klientgodkendelse med Internet Information Services (IIS)

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Denne vejledning beskriver konfigurationen af Windows Internet Information Services (IIS) til TLS-klientgodkendelse, der tildeler brugere til lokale brugerkonti.

Den viser konfigurationen som et eksempel med Default Web Site i IIS. Konfigurationen kan også bruges til andre websteder, inklusive eller eksklusive standardwebstedet.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • Windows Server (webserver)

    • DNS record

    • TLS-certifikat til DNS-posten. Klientcomputere skal have tillid til dette TLS-certifikat.

Installation

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Følg guiden til trinnet Serverroller.

  4. Vælg rollen Web Server (IIS) på listen over tilgængelige roller.

  5. Følg guiden til trinnet Roles Services under Web Server Role (IIS).

  6. Vælg Web Server → Security → IIS Client Certificate Mapping Authentication på listen over rolletjenester.

  7. Følg guiden til installationen. Installationen skal være færdig, før du kan begynde at konfigurere den.

Konfiguration

  1. Åbn Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Vælg og udvid den webserver, du vil konfigurere, i trævisningen Connections til venstre.

  3. Åbn Configuration Editor fra den midterste rude. Åbn sektionen system.webServer/security/authentication/iisClientCertificateMappingAuthentication, og lås den op ved at klikke på Unlock Section i ruden Actions til højre.

  4. Udvid Sites under webserveren, og vælg det site, du vil konfigurere.

  5. Klik på Bindinger… i ruden Handlinger til højre.

  6. Klik på Add…, hvilket bringer bindingseditoren frem. Indstil typen til https og værtsnavnet i henhold til DNS-posten og TLS-certifikatets Subject Alternative Name (SAN)-attribut. Aktivér afkrydsningsfeltet Disable TLS 1.3 over TCP. I feltet SSL-certifikat vælges det pågældende certifikat. Bekræft konfigurationen med et klik på OK.

    Tip

    For at forstå kravet om at deaktivere TLS 1.3 og for at få en konfigurationsvejledning til, hvordan man bruger det med aktiveret TLS 1.3, henvises til dette Microsoft Support blogindlæg.

  7. Fra den midterste rude åbnes SSL Settings. Aktivér afkrydsningsfeltet Require SSL, og alternativknappen under Client certificates sættes til Require. Bekræft konfigurationen ved at klikke på Apply i ruden Actions til højre.

  8. Fra den midterste rude åbnes Authentication. Sørg for, at alle andre godkendelsesmetoder er deaktiveret for webstedet. ** IIS Client Certificate Mapping Authentication** vil aldrig være synlig på denne liste. Naviger tilbage til roden af webstedet.

    Vigtigt

    Hvis en anden type godkendelse er aktiveret, vil klientcertifikattilknytningen ikke fungere.

  9. Fra den midterste rude åbnes Configuration Editor. Åbn sektionen system.webServer/security/authentication/iisClientCertificateMappingAuthentication fra ApplicationHost.config <location path='Default web site'/>. Sæt nøglen enabled til True, og sørg for, at en eller begge nøgler manyToOneCertificateMappingsEnabled og oneToOneCertificateMappingsEnabled er aktiveret.

  10. Brugertilknytningerne skal skrives til nøglerne manyToOneMappings eller oneToOneMappings. Den respektive nøgle, der skal bruges, afhænger af den ønskede mapping, der skal bruges. Du kan finde oplysninger om tilknytningen og mere detaljerede konfigurationsforklaringer på Microsoft Learn.

    Hvis du vil ændre en nøgle, skal du klikke på knappen for enden af værdi-tekstfeltet. Dette vil åbne Collection Editor. For at oprette en ny mapping skal du klikke på Add i Actions i højre side.

    1. Kortlægning af mange til én

      Udfyld felterne som vist i tabellen nedenfor.

      Key

      Værdi

      enabled

      True

      name

      <name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      Feltet name bruges som identifikation af samlingen, og felterne userName og password kræver brugernavn og adgangskode for den lokale bruger, du vil mappe til. Feltet rules skal indeholde en beskrivelse af tilladte eller afviste certifikater. For at ændre regelnøglen skal du klikke på knappen i slutningen af værdi-tekstfeltet. Dette vil åbne et nyt vindue i Collection Editor. For at oprette en ny regel skal du klikke på Add i Actions i højre side.

      Udfyld felterne som vist i tabellen nedenfor.

      Key

      Værdi

      certificateField

      Subject

      certificateSubField

      O

      compareCaseSensitive

      True

      matchCriteria

      <criteria-value-of-o-field-in-certificate-subject>

      Luk vinduerne Collection Editor.

    2. En til en-kortlægning

      Udfyld felterne som i tabellen nedenfor.

      Key

      Værdi

      certificate

      <base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Det Base64-kodede certifikat for feltet certificate kan fås fra Nitrokey med Nitropy og kommandoen nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Felterne userName og password kræver brugernavn og adgangskode for den lokale bruger, du vil mappe til.

      Luk vinduet Collection Editor.

    Bekræft konfigurationen ved at klikke på Apply i Actions til højre.

Webstedet er nu konfigureret til TLS-klientgodkendelse ved hjælp af lokal brugerkontotilknytning.