TLS-asiakkaan todennus Windowsin Internetin tietopalveluiden (IIS) ja Active Directoryn kanssa

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Tässä oppaassa kuvataan Windows Internet Information Services (IIS) -palvelun (Windows Internet Information Services, IIS) konfigurointi TLS-asiakastodennusta varten, joka yhdistää käyttäjät Active Directory -tileihin.

Siinä näytetään kokoonpano esimerkkinä IIS:n Default Web Site -osoitteella. Määritystä voidaan käyttää myös muille sivustoille, mukaan lukien tai pois lukien oletussivusto, mutta TLS-tuen määritys on koko palvelimen laajuinen.

Prerequisits

  • Älykorttiasiakkaan kirjautumisen onnistunut käyttöönotto, katso luku Asiakkaan kirjautuminen Active Directoryyn. Käyttäjillä on oltava voimassa oleva todennusvarmenne Nitrokey-kortilla.

  • Windows Server (verkkopalvelin)

    • Liittynyt Active Directory -toimialueeseen.

    • DNS-tietue tai isäntänimi on voitava ratkaista DNS:n kautta asiakkaille.

    • DNS-tietueen TLS-varmenne. Asiakastietokoneiden on luotettava tähän TLS-varmenteeseen.

Asennus

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Seuraa ohjatun toiminnon vaihetta Palvelinroolit.

  4. Valitse rooli Web Server (IIS) käytettävissä olevien roolien luettelosta.

  5. Seuraa ohjatun toiminnon vaihetta Roolit Palvelut kohdassa Web Server Role (IIS).

  6. Valitse roolipalvelujen luettelosta Web Server → Security → Client Certificate Mapping Authentication.

  7. Seuraa ohjattua asennusta. Asennuksen on oltava valmis ennen kuin voit aloittaa konfiguroinnin.

Konfigurointi

  1. Avaa Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Valitse ja laajenna määritettävää verkkopalvelinta vasemmalla olevassa Connections -puunäkymässä.

  3. Avaa keskimmäisestä ruudusta Authentication. Valitse Active Directory -asiakasvarmenteen todennus ja ota se käyttöön napsauttamalla Enable (Ota käyttöön ) oikealla olevassa Actions (Toiminnot) -ruudussa.

  4. Laajenna verkkopalvelimen alla olevaa Sivustot ja valitse sivusto, jonka haluat määrittää.

  5. Napsauta Toiminnot -ruudussa oikealla Sidonnat….

  6. Napsauta Add…, jolloin sidostieditori avautuu. Aseta tyypiksi https ja isäntänimeksi DNS-tietue ja TLS-varmenteen Subject Alternative Name (SAN) -attribuutti. Aktivoi valintaruutu Disable TLS 1.3 over TCP. Valitse kentässä SSL-varmenne kyseinen varmenne. Vahvista määritys napsauttamalla OK.

    Vihje

    Jos haluat ymmärtää TLS 1.3:n poistamista käytöstä koskevan vaatimuksen ja konfigurointiohjeita sen käyttämiseksi TLS 1.3:n ollessa käytössä, tutustu tähän Microsoftin tukipalvelun blogikirjoitukseen.

  7. Avaa keskimmäisestä ruudusta SSL-asetukset. Aktivoi valintaruutu Vaadi SSL ja Asiakasvarmenteet valintaruutu Vaadi. Vahvista määritys napsauttamalla Apply oikealla olevassa Actions -ruudussa.

  8. Avaa keskimmäisestä ruudusta Authentication. Varmista, että kaikki muut todennusmenetelmät on poistettu käytöstä sivuston osalta. * Active Directory Client Certificate Authentication* ei koskaan näy tässä luettelossa.

    Tärkeä

    Jos jokin muu todennustyyppi on käytössä, asiakasvarmenteen yhdistäminen ei toimi.

Sivusto on nyt määritetty TLS-asiakastodennusta varten Active Directory -käyttäjätilien yhdistämistä käyttäen.