TLS kliendi autentimine koos Windows Internet Information Services (IIS) ja Active Directoryga

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive

Selles juhendis kirjeldatakse Windows Internet Information Services (IIS) seadistamist TLS-kliendi autentimiseks, mis kaardistab kasutajad Active Directory kontodele.

See näitab konfiguratsiooni näitena IIS-i Default Web Site. Seda konfiguratsiooni saab kasutada ka teiste saitide puhul, kaasa arvatud või välja arvatud vaikimisi saidi puhul, kuid TLS-toe konfiguratsioon on kogu serverit hõlmav.

Prerequisits

• Nutikaardi kliendi sisselogimise edukas seadistamine, vt peatükk Kliendi sisselogimine Active Directory’ga. Kasutajatel peab olema kehtiv autentimissertifikaat Nitrokey’l.

• Windows Server (veebiserver)

  • Ühendatud Active Directory domeeniga.

  • DNS-rekord või hostinimi peab olema klientide jaoks DNS-i kaudu lahendatav.

  • TLS-sertifikaat DNS-kirje jaoks. Klientarvutid peavad seda TLS-sertifikaati usaldama.

Paigaldamine

1. Open the Server Manager.

2. In the menubar on the top click Manage → Add Roles and Features.

3. Järgige nõustaja sammu Server Roles.

4. Valige olemasolevate rollide loetelust roll Web Server (IIS).

5. Järgige nõustaja sammu Rollid Teenused all Web Server Role (IIS).

6. Valige rollideenuste loetelust Veebiserver → Turvalisus → Kliendisertifikaadi kaardistamise autentimine.

7. Järgige paigaldusviisardi juhiseid. Enne seadistamise alustamist tuleb paigaldamine lõpetada.

Konfiguratsioon

1. Avage Internet Information Services (IIS) Manager (InetMgr.exe).

2. Valige ja laiendage veebiserver, mida soovite konfigureerida, vasakpoolses puuvaates Connections.

3. Avage keskmisest paanist Autentimine. Valige Active Directory kliendi sertifikaadi autentimine ja lubage see, klõpsates Enable ** Actions** paanil paremal.

4. Avage veebiserveri all Sites ja valige sait, mida soovite konfigureerida.

5. Paanis Actions klõpsake paremal pool Bindings….

6. Klõpsake Add…, mis avab sidemete redaktori. Määrake tüübiks https ja hostinimeks vastavalt DNS-kirjele ja TLS-sertifikaadi Subject Alternative Name (SAN) atribuudile. Aktiveerige märkeruut Disable TLS 1.3 over TCP. Väljal SSL-sertifikaat valige vastav sertifikaat. Kinnitage konfiguratsioon klõpsuga OK.

   Nõuanne

   TLS 1.3 väljalülitamise nõude mõistmiseks ja konfiguratsioonijuhiste saamiseks, kuidas kasutada seda aktiveeritud TLS 1.3-ga, vaadake seda Microsoft Support blogipostitust.

7. Avage keskmisest paanist SSL seaded. Aktiveerige märkeruut Require SSL ja raadio nupu all Client certificates on seatud Require. Kinnitage konfiguratsioon klõpsuga Apply ** Actions** paanil paremal asuvas Actions paanis.

8. Avage keskmisest paanist Autentimine. Veenduge, et kõik muud autentimismeetodid on saidi jaoks deaktiveeritud. * Active Directory kliendi sertifikaadi autentimine* ei ole selles nimekirjas kunagi nähtav.

   Tähtis

   Kui muud tüüpi autentimine on lubatud, ei tööta kliendisertifikaadi kaardistamine.

Sait on nüüd konfigureeritud TLS-kliendi autentimiseks, kasutades Active Directory kasutajakontode kaardistamist.