TLS-Client-Authentifizierung mit Windows Internet-Informationsdiensten (IIS) und Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Dieses Handbuch beschreibt die Konfiguration von Windows Internet Information Services (IIS) für die TLS-Client-Authentifizierung, die Benutzer Active Directory-Konten zuordnet.

Sie zeigt die Konfiguration als Beispiel mit der Standard-Website des IIS. Die Konfiguration kann auch für andere Sites verwendet werden, einschließlich oder ausschließlich der Standard-Site, aber die Konfiguration der TLS-Unterstützung ist serverweit.

Prerequisits

  • Erfolgreiche Einrichtung der Smartcard-Client-Anmeldung, siehe Kapitel Client-Anmeldung mit Active Directory. Benutzer müssen über ein gültiges Authentifizierungszertifikat auf einem Nitrokey verfügen.

  • Windows Server (Webserver)

    • Verbunden mit einer Active Directory-Domäne.

    • Der DNS-Eintrag oder Hostname muss für die Clients über DNS auflösbar sein.

    • TLS-Zertifikat für den DNS-Eintrag. Client-Computer müssen diesem TLS-Zertifikat vertrauen.

Installation

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Folgen Sie dem Assistenten bis zum Schritt Server-Rollen.

  4. Wählen Sie die Rolle Web Server (IIS) aus der Liste der verfügbaren Rollen.

  5. Folgen Sie dem Assistenten zum Schritt Roles Services unter Web Server Role (IIS).

  6. Wählen Sie aus der Liste der Rollendienste Web Server → Security → Client Certificate Mapping Authentication.

  7. Folgen Sie dem Assistenten zur Installation. Die Installation muss abgeschlossen sein, bevor Sie mit der Konfiguration beginnen können.

Konfiguration

  1. Öffnen Sie den Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Wählen Sie den Webserver, den Sie konfigurieren möchten, in der Baumansicht Connections auf der linken Seite aus und erweitern Sie ihn.

  3. Öffnen Sie im mittleren Fensterbereich Authentifizierung. Wählen Sie Active Directory-Clientzertifikat-Authentifizierung und aktivieren Sie sie mit einem Klick auf Aktivieren im Bereich Aktionen auf der rechten Seite.

  4. Erweitern Sie die Sites unter dem Webserver und wählen Sie die Site aus, die Sie konfigurieren möchten.

  5. Klicken Sie im Bereich Aktionen auf der rechten Seite auf Bindungen….

  6. Klicken Sie auf Hinzufügen…, um den Bindungseditor aufzurufen. Setzen Sie den Typ auf https und den Hostnamen entsprechend dem DNS-Eintrag und dem Attribut Subject Alternative Name (SAN) des TLS-Zertifikats. Aktivieren Sie das Kontrollkästchen Disable TLS 1.3 over TCP. Wählen Sie im Feld SSL-Zertifikat das entsprechende Zertifikat aus. Bestätigen Sie die Konfiguration mit einem Klick auf OK.

    Tipp

    Zum Verständnis der Anforderung, TLS 1.3 zu deaktivieren, und für eine Konfigurationsanleitung zur Verwendung mit aktiviertem TLS 1.3 lesen Sie bitte diesen Microsoft Support Blog Post.

  7. Öffnen Sie im mittleren Bereich SSL-Einstellungen. Aktivieren Sie das Kontrollkästchen Require SSL und setzen Sie den Radiobutton unter Client certificates auf Require. Bestätigen Sie die Konfiguration mit einem Klick auf Anwenden im Bereich Aktionen auf der rechten Seite.

  8. Öffnen Sie im mittleren Bereich Authentifizierung. Stellen Sie sicher, dass alle anderen Authentifizierungsmethoden für die Website deaktiviert sind. Die Active Directory-Clientzertifikat-Authentifizierung wird in dieser Liste nie sichtbar sein.

    Wichtig

    Wenn eine andere Art der Authentifizierung aktiviert ist, funktioniert die Zuordnung der Client-Zertifikate nicht.

Die Site ist jetzt für die TLS-Client-Authentifizierung mit Active Directory-Benutzerkontozuordnung konfiguriert.