Πιστοποίηση ταυτότητας πελάτη TLS με τις υπηρεσίες Internet Information Services (IIS) των Windows και το Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Αυτός ο οδηγός περιγράφει τη διαμόρφωση των Υπηρεσιών Internet Information Services (IIS) των Windows για έλεγχο ταυτότητας πελάτη TLS που αντιστοιχίζει τους χρήστες σε λογαριασμούς Active Directory.

Παρουσιάζει τη διαμόρφωση ως παράδειγμα με την ιστοσελίδα Default Web Site του IIS. Η διαμόρφωση μπορεί να χρησιμοποιηθεί και για άλλες τοποθεσίες, συμπεριλαμβανομένης ή εξαιρουμένης της προεπιλεγμένης τοποθεσίας, αλλά η διαμόρφωση της υποστήριξης TLS είναι για όλο το διακομιστή.

Prerequisits

  • Επιτυχής ρύθμιση της σύνδεσης πελάτη με έξυπνη κάρτα, ανατρέξτε στο κεφάλαιο Σύνδεση πελάτη με Active Directory. Οι χρήστες πρέπει να διαθέτουν έγκυρο πιστοποιητικό ελέγχου ταυτότητας σε ένα Nitrokey.

  • Windows Server (διακομιστής ιστού)

    • Συνδεδεμένος σε έναν τομέα Active Directory.

    • Η εγγραφή DNS ή το όνομα κεντρικού υπολογιστή πρέπει να είναι δυνατό να επιλυθεί μέσω DNS για τους πελάτες.

    • Πιστοποιητικό TLS για την εγγραφή DNS. Οι υπολογιστές-πελάτες πρέπει να εμπιστεύονται αυτό το πιστοποιητικό TLS.

Εγκατάσταση

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Ακολουθήστε τον οδηγό μέχρι το βήμα Ρόλοι διακομιστών.

  4. Επιλέξτε το ρόλο Web Server (IIS) από τη λίστα των διαθέσιμων ρόλων.

  5. Ακολουθήστε τον οδηγό μέχρι το βήμα Ρόλοι υπηρεσιών κάτω από Ρόλος διακομιστή Web (IIS).

  6. Από τη λίστα των υπηρεσιών ρόλων επιλέξτε Web Server → Ασφάλεια → Αντιστοίχιση πιστοποιητικού πελάτη Πιστοποίηση ταυτότητας.

  7. Ακολουθήστε τον οδηγό για την εγκατάσταση. Η εγκατάσταση πρέπει να ολοκληρωθεί πριν ξεκινήσετε τη διαμόρφωσή της.

Διαμόρφωση

  1. Ανοίξτε το Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Επιλέξτε και επεκτείνετε τον διακομιστή ιστού που θέλετε να ρυθμίσετε στη δενδρική προβολή Connections στα αριστερά.

  3. Από το μεσαίο παράθυρο ανοίξτε το Authentication. Επιλέξτε Active Directory Client Certificate Authentication και ενεργοποιήστε το με ένα κλικ στο Enable στο παράθυρο Actions στα δεξιά.

  4. Επεκτείνετε το Sites κάτω από το διακομιστή ιστού και επιλέξτε την τοποθεσία που θέλετε να διαμορφώσετε.

  5. Στο παράθυρο Ενέργειες στα δεξιά κάντε κλικ στο Δεσμοί….

  6. Κάντε κλικ στο Add…, το οποίο εμφανίζει τον επεξεργαστή δεσμεύσεων. Ορίστε τον τύπο σε https και το όνομα κεντρικού υπολογιστή σύμφωνα με την εγγραφή DNS και την ιδιότητα Subject Alternative Name (SAN) του πιστοποιητικού TLS. Ενεργοποιήστε το πλαίσιο ελέγχου Disable TLS 1.3 over TCP. Στο πεδίο SSL certificate επιλέξτε το αντίστοιχο πιστοποιητικό. Επιβεβαιώστε τη διαμόρφωση με κλικ στο OK.

    Πρακτική συμβουλή

    Για να κατανοήσετε την απαίτηση απενεργοποίησης του TLS 1.3 και για οδηγίες διαμόρφωσης σχετικά με τον τρόπο χρήσης του με ενεργοποιημένο το TLS 1.3, ανατρέξτε σε αυτό το post στο blog της υποστήριξης της Microsoft ` <https://techcommunity.microsoft.com/blog/iis-support-blog/windows-server-2022-iis-web-site-tls-1-3-does-not-work-with-client-certificate-a/4129738>` __.

  7. Από το μεσαίο παράθυρο ανοίξτε το SSL Settings. Ενεργοποιήστε το πλαίσιο ελέγχου Require SSL και το κουμπί επιλογής κάτω από το Client certificates είναι ρυθμισμένο σε Require. Επιβεβαιώστε τη διαμόρφωση με ένα κλικ στο Apply στο παράθυρο Actions στα δεξιά.

  8. Από το μεσαίο παράθυρο ανοίξτε το Authentication. Βεβαιωθείτε ότι όλες οι άλλες μέθοδοι ελέγχου ταυτότητας είναι απενεργοποιημένες για την τοποθεσία. Το Πιστοποιητικό ελέγχου ταυτότητας πελάτη Active Directory δεν θα είναι ποτέ ορατό σε αυτή τη λίστα.

    Σημαντικό

    Εάν είναι ενεργοποιημένος οποιοσδήποτε άλλος τύπος ελέγχου ταυτότητας, η αντιστοίχιση πιστοποιητικού πελάτη δεν θα λειτουργήσει.

Η τοποθεσία έχει πλέον ρυθμιστεί για έλεγχο ταυτότητας πελάτη TLS χρησιμοποιώντας αντιστοίχιση λογαριασμού χρήστη Active Directory.