Autenticación de clientes TLS con Windows Internet Information Services (IIS) y Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Esta guía describe la configuración de Windows Internet Information Services (IIS) para la autenticación de cliente TLS que asigna usuarios a cuentas de Active Directory.

Muestra la configuración a modo de ejemplo con el sitio web predeterminado ** de IIS. La configuración también se puede utilizar para otros sitios, incluyendo o excluyendo el sitio predeterminado, pero la configuración del soporte TLS es para todo el servidor.

Prerequisits

  • Configuración correcta del inicio de sesión del cliente de tarjeta inteligente, consulte el capítulo Inicio de sesión del cliente con Active Directory. Los usuarios deben tener un certificado de autenticación válido en un Nitrokey.

  • Windows Server (servidor web)

    • Unido a un dominio de Active Directory.

    • El registro DNS o nombre de host debe poder resolverse a través de DNS para los clientes.

    • Certificado TLS para el registro DNS. Los ordenadores cliente deben confiar en este certificado TLS.

Instalación

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Siga el asistente hasta el paso Server Roles.

  4. Seleccione el rol Web Server (IIS) de la lista de roles disponibles.

  5. Siga el asistente hasta el paso Roles Services en Web Server Role (IIS).

  6. En la lista de servicios de rol, seleccione Servidor web → Seguridad → Autenticación de asignación de certificados de cliente.

  7. Siga el asistente para la instalación. La instalación debe finalizar antes de poder empezar a configurarlo.

Configuración

  1. Abra Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Seleccione y expanda el servidor web que desea configurar en la vista de árbol Conexiones de la izquierda.

  3. En el panel central, abra Autenticación. Seleccione Active Directory Client Certificate Authentication y actívela haciendo clic en Enable en el panel Actions de la derecha.

  4. Expanda la página Sites bajo el servidor web y seleccione el sitio que desea configurar.

  5. En el panel Acciones de la derecha, haga clic en Enlaces….

  6. Haga clic en Añadir… para abrir el editor de enlaces. Establezca el tipo en https y el nombre de host de acuerdo con el registro DNS y el atributo Subject Alternative Name (SAN) del certificado TLS. Active la casilla Desactivar TLS 1.3 sobre TCP. En el campo Certificado SSL seleccione el certificado correspondiente. Confirme la configuración haciendo clic en OK.

    Truco

    Para comprender el requisito de deshabilitar TLS 1.3 y para obtener instrucciones de configuración sobre cómo utilizarlo con TLS 1.3 habilitado, consulte esta publicación del blog de soporte de Microsoft ` <https://techcommunity.microsoft.com/blog/iis-support-blog/windows-server-2022-iis-web-site-tls-1-3-does-not-work-with-client-certificate-a/4129738>` __.

  7. En el panel central, abra Configuración SSL. Active la casilla Requerir SSL y el botón de radio bajo Certificados de cliente se establece en Requerir. Confirme la configuración haciendo clic en Aplicar en el panel Acciones de la derecha.

  8. En el panel central, abra Authentication. Asegúrese de que todos los demás métodos de autenticación están desactivados para el sitio. El Autenticación de certificado de cliente de Active Directory nunca será visible en esta lista.

    Importante

    Si se activa cualquier otro tipo de autenticación, la asignación del certificado de cliente no funcionará.

El sitio ya está configurado para la autenticación de cliente TLS mediante la asignación de cuentas de usuario de Active Directory.