TLS-kliendi autentimine Interneti infoteenuste (IIS) abil

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Selles juhendis kirjeldatakse Windows Internet Information Services (IIS) seadistamist TLS-kliendi autentimiseks, mis kaardistab kasutajad kohalikele kasutajakontodele.

See näitab konfiguratsiooni näitena IIS-i Default Web Site. Seda konfiguratsiooni saab kasutada ka teiste saitide puhul, kaasa arvatud või välja arvatud vaikimisi saidi puhul.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • Windows Server (veebiserver)

    • DNS record

    • TLS-sertifikaat DNS-kirje jaoks. Klientarvutid peavad seda TLS-sertifikaati usaldama.

Paigaldamine

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Järgige nõustaja sammu Server Roles.

  4. Valige olemasolevate rollide loetelust roll Web Server (IIS).

  5. Järgige nõustaja sammu Rollid Teenused all Web Server Role (IIS).

  6. Valige rollideenuste loetelust Veebiserver → Turvalisus → IISi kliendisertifikaadi kaardistamise autentimine.

  7. Järgige paigaldusviisardi juhiseid. Enne seadistamise alustamist tuleb paigaldamine lõpetada.

Konfiguratsioon

  1. Avage Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Valige ja laiendage veebiserver, mida soovite konfigureerida, vasakpoolses puuvaates Connections.

  3. Avage keskmisest paanist Configuration Editor. Avage sektsioon system.webServer/security/authentication/iisClientCertificateMappingAuthentication ja vabastage see, klõpsates Unlock Section ** Actions** paanil paremal.

  4. Avage veebiserveri all Sites ja valige sait, mida soovite konfigureerida.

  5. Paanis Actions klõpsake paremal pool Bindings….

  6. Klõpsake Add…, mis avab sidemete redaktori. Määrake tüübiks https ja hostinimeks vastavalt DNS-kirjele ja TLS-sertifikaadi Subject Alternative Name (SAN) atribuudile. Aktiveerige märkeruut Disable TLS 1.3 over TCP. Väljal SSL-sertifikaat valige vastav sertifikaat. Kinnitage konfiguratsioon klõpsuga OK.

    Nõuanne

    TLS 1.3 väljalülitamise nõude mõistmiseks ja konfiguratsioonijuhiste saamiseks, kuidas kasutada seda aktiveeritud TLS 1.3-ga, vaadake seda Microsoft Support blogipostitust.

  7. Avage keskmisest paanist SSL seaded. Aktiveerige märkeruut Require SSL ja raadio nupu all Client certificates on seatud Require. Kinnitage konfiguratsioon klõpsuga Apply ** Actions** paanil paremal asuvas Actions paanis.

  8. Avage keskmisest paanist Autentimine. Veenduge, et kõik muud autentimismeetodid on saidi jaoks deaktiveeritud. ** IIS Client Certificate Mapping Authentication** ei ole selles nimekirjas kunagi nähtav. Navigeerige tagasi saidi juurest.

    Tähtis

    Kui muud tüüpi autentimine on lubatud, ei tööta kliendisertifikaadi kaardistamine.

  9. Avage keskmisest paanist Configuration Editor. Avage sektsioon system.webServer/security/authentication/iisClientCertificateMappingAuthentication alates ApplicationHost.config <location path='Default web site'/>. Seadistage võtme enabled True ja veenduge, et üks või mõlemad võtmed manyToOneCertificateMappingsEnabled ja oneToOneCertificateMappingsEnabled on aktiveeritud.

  10. Kasutajakorraldused tuleb kirjutada võtmetesse manyToOneMappings või oneToOneMappings. Kasutatav võti sõltub kasutatavast soovitud kaardistamisest. Teavet kaardistamise kohta ja üksikasjalikumaid selgitusi konfiguratsiooni kohta leiate Microsoft Learn.

    Võtme muutmiseks klõpsake väärtuse tekstivälja lõpus oleval nupul . See avab kollektsiooni redaktori. Uue kaardistamise loomiseks klõpsake Add ** Actions** paanil paremal pool asuval paneelil Actions .

    1. Paljude kaardistamine ühele

      Täitke väljad vastavalt alljärgnevale tabelile.

      Key

      Väärtus

      enabled

      True

      name

      „<name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      Välja name kasutatakse kollektsiooni identifikaatorina ja väljad userName ja password nõuavad selle kohaliku kasutaja kasutajanime ja parooli, kellele soovite kaardistada. Väli rules peab sisaldama lubatud või keelatud sertifikaatide kirjeldust. Reeglite võtme muutmiseks klõpsake väärtuse tekstivälja lõpus olevale nupule . See avab uue akna kollektsiooni redaktori. Uue reegli loomiseks klõpsake Add ** Actions** paanil paremal pool asuvas aknas .

      Täitke väljad vastavalt alljärgnevale tabelile.

      Key

      Väärtus

      certificateField

      Subject

      certificateSubField

      O

      „compareCaseSensitive

      True

      „matchCriteria

      „<criteria-value-of-o-field-in-certificate-subject>

      Sulgege Collection Editor aknad.

    2. Üks ühele kaardistamine

      Täitke väljad vastavalt alljärgnevale tabelile.

      Key

      Väärtus

      certificate

      „<base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Base64-kodeeritud sertifikaadi certificate väljale saab Nitrokey’st Nitroopia ja käsuga nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Väljad userName ja password nõuavad selle kohaliku kasutaja kasutajanime ja parooli, kellele soovite kaardistada.

      Sulgege aken Collection Editor.

    Kinnitage konfiguratsioon, klõpsates Apply paanil Actions paremal pool asuval paanil.

Sait on nüüd konfigureeritud TLS-kliendi autentimiseks, kasutades kohaliku kasutajakonto kaardistamist.