TLS-asiakkaan todennus Internetin tietopalveluiden (IIS) kanssa

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Tässä oppaassa kuvataan Windows Internet Information Services (IIS) -palvelun määritys TLS-asiakastodennusta varten, joka yhdistää käyttäjät paikallisiin käyttäjätileihin.

Siinä näytetään kokoonpano esimerkkinä IIS:n Default Web Site -osoitteella. Määritystä voidaan käyttää myös muille sivustoille, mukaan lukien tai pois lukien oletussivusto.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • Windows Server (verkkopalvelin)

    • DNS record

    • DNS-tietueen TLS-varmenne. Asiakastietokoneiden on luotettava tähän TLS-varmenteeseen.

Asennus

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Seuraa ohjatun toiminnon vaihetta Palvelinroolit.

  4. Valitse rooli Web Server (IIS) käytettävissä olevien roolien luettelosta.

  5. Seuraa ohjatun toiminnon vaihetta Roolit Palvelut kohdassa Web Server Role (IIS).

  6. Valitse roolipalvelujen luettelosta Web Server → Security → IIS Client Certificate Mapping Authentication.

  7. Seuraa ohjattua asennusta. Asennuksen on oltava valmis ennen kuin voit aloittaa konfiguroinnin.

Konfigurointi

  1. Avaa Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Valitse ja laajenna määritettävää verkkopalvelinta vasemmalla olevassa Connections -puunäkymässä.

  3. Avaa keskimmäisestä ruudusta Configuration Editor. Avaa osio system.webServer/security/authentication/iisClientCertificateMappingAuthentication ja poista sen lukitus klikkaamalla Unlock Section oikealla olevassa Actions -ruudussa.

  4. Laajenna verkkopalvelimen alla olevaa Sivustot ja valitse sivusto, jonka haluat määrittää.

  5. Napsauta Toiminnot -ruudussa oikealla Sidonnat….

  6. Napsauta Add…, jolloin sidostieditori avautuu. Aseta tyypiksi https ja isäntänimeksi DNS-tietue ja TLS-varmenteen Subject Alternative Name (SAN) -attribuutti. Aktivoi valintaruutu Disable TLS 1.3 over TCP. Valitse kentässä SSL-varmenne kyseinen varmenne. Vahvista määritys napsauttamalla OK.

    Vihje

    Jos haluat ymmärtää TLS 1.3:n poistamista käytöstä koskevan vaatimuksen ja konfigurointiohjeita sen käyttämiseksi TLS 1.3:n ollessa käytössä, tutustu tähän Microsoftin tukipalvelun blogikirjoitukseen.

  7. Avaa keskimmäisestä ruudusta SSL-asetukset. Aktivoi valintaruutu Vaadi SSL ja Asiakasvarmenteet valintaruutu Vaadi. Vahvista määritys napsauttamalla Apply oikealla olevassa Actions -ruudussa.

  8. Avaa keskimmäisestä ruudusta Authentication. Varmista, että kaikki muut todennusmenetelmät on poistettu käytöstä sivuston osalta. ** IIS Client Certificate Mapping Authentication** ei koskaan näy tässä luettelossa. Siirry takaisin sivuston juureen.

    Tärkeä

    Jos jokin muu todennustyyppi on käytössä, asiakasvarmenteen yhdistäminen ei toimi.

  9. Avaa keskimmäisestä ruudusta Configuration Editor. Avaa osio system.webServer/security/authentication/iisClientCertificateMappingAuthentication kohdasta ApplicationHost.config <location path='Default web site'/>. Aseta avaimen enabled arvoksi True ja varmista, että jompikumpi tai molemmat avaimista manyToOneCertificateMappingsEnabled ja oneToOneCertificateMappingsEnabled ovat käytössä.

  10. Käyttäjäkuvaukset on kirjoitettava avaimiin manyToOneMappings tai oneToOneMappings. Käytettävä avain riippuu siitä, mitä kartoitusta halutaan käyttää. Tietoja kartoituksesta ja yksityiskohtaisempia konfigurointi-selityksiä on osoitteessa Microsoft Learn.

    Voit muuttaa avainta napsauttamalla arvotekstikentän lopussa olevaa -painiketta. Tämä avaa Collection Editor. Luodaksesi uuden kartoituksen napsauta Add oikealla olevassa Actions -ruudussa.

    1. Monesta yhteen -kartoitus

      Täytä kentät alla olevan taulukon mukaisesti.

      Key

      Arvo

      enabled

      True

      name

      ”<name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      name -kenttää käytetään kokoelman tunnisteena, ja userName ja password -kentät vaativat sen paikallisen käyttäjän käyttäjätunnuksen ja salasanan, johon haluat liittää. ` rules` -kentässä on oltava kuvaus sallituista tai kielletyistä varmenteista. Jos haluat muuttaa sääntöavainta, napsauta arvotekstikentän lopussa olevaa -painiketta. Tämä avaa uuden ikkunan Collection Editor. Voit luoda uuden säännön napsauttamalla Add oikealla olevassa Actions -ruudussa.

      Täytä kentät alla olevan taulukon mukaisesti.

      Key

      Arvo

      certificateField

      Subject

      certificateSubField

      O

      ”compareCaseSensitive

      True

      ”matchCriteria

      ”<criteria-value-of-o-field-in-certificate-subject>

      Sulje Collection Editor -ikkunat.

    2. Yksi yhteen -kartoitus

      Täytä kentät alla olevan taulukon mukaisesti.

      Key

      Arvo

      certificate

      ”<base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Base64-koodattu varmenne certificate -kenttää varten saadaan Nitrokey-avaimesta komennolla Nitropia ja komennolla nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Kentät userName ja password vaativat sen paikallisen käyttäjän käyttäjätunnuksen ja salasanan, johon halutaan liittää.

      Sulje Collection Editor -ikkuna.

    Vahvista konfigurointi napsauttamalla Apply oikealla olevassa Actions -ruudussa.

Sivusto on nyt määritetty TLS-asiakkaan todennusta varten paikallisen käyttäjätilin yhdistämistä käyttäen.