Authentification du client TLS avec Windows Internet Information Services (IIS) et Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Ce guide décrit la configuration de Windows Internet Information Services (IIS) pour l’authentification client TLS qui associe les utilisateurs aux comptes Active Directory.

Il montre la configuration à titre d’exemple avec le site Web par défaut ** d’IIS. La configuration peut également être utilisée pour d’autres sites, y compris ou non le site par défaut, mais la configuration de la prise en charge de TLS s’applique à l’ensemble du serveur.

Prerequisits

  • Configuration réussie de la connexion client par carte à puce, voir le chapitre Connexion client avec Active Directory. Les utilisateurs doivent disposer d’un certificat d’authentification valide sur une Nitrokey.

  • Serveur Windows (serveur web)

    • Relié à un domaine Active Directory.

    • L’enregistrement DNS ou le nom d’hôte doit pouvoir être résolu par le DNS pour les clients.

    • Certificat TLS pour l’enregistrement DNS. Les ordinateurs clients doivent faire confiance à ce certificat TLS.

Installation

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Suivez l’assistant jusqu’à l’étape Server Roles.

  4. Sélectionnez le rôle Web Server (IIS) dans la liste des rôles disponibles.

  5. Suivez l’assistant jusqu’à l’étape Rôles Services sous Rôle de serveur Web (IIS).

  6. Dans la liste des services de rôle, sélectionnez Web Server → Security → Client Certificate Mapping Authentication.

  7. Suivez l’assistant pour l’installation. L’installation doit être terminée avant de pouvoir commencer la configuration.

Configuration

  1. Ouvrez le gestionnaire Internet Information Services (IIS) (InetMgr.exe).

  2. Sélectionnez et développez le serveur web que vous voulez configurer dans l’arborescence Connections à gauche.

  3. Dans le volet du milieu, ouvrez Authentication. Sélectionnez Active Directory Client Certificate Authentication et activez-la en cliquant sur Enable dans le volet Actions à droite.

  4. Développez la page Sites sous le serveur web et sélectionnez le site que vous souhaitez configurer.

  5. Dans le volet Actions à droite, cliquez sur Bindings….

  6. Cliquez sur Add…, ce qui fait apparaître l’éditeur de liaisons. Définissez le type sur https et le nom d’hôte en fonction de l’enregistrement DNS et de l’attribut Subject Alternative Name (SAN) du certificat TLS. Activez la case à cocher Disable TLS 1.3 over TCP. Dans le champ SSL certificate sélectionnez le certificat correspondant. Confirmez la configuration en cliquant sur OK.

    Astuce

    Pour comprendre la nécessité de désactiver TLS 1.3 et pour obtenir des instructions de configuration sur la façon de l’utiliser avec TLS 1.3 activé, reportez-vous à ce billet de blog du support Microsoft ` <https://techcommunity.microsoft.com/blog/iis-support-blog/windows-server-2022-iis-web-site-tls-1-3-does-not-work-with-client-certificate-a/4129738>` __.

  7. Dans le volet central, ouvrez SSL Settings. Activez la case à cocher Require SSL et le bouton radio sous Client certificates est réglé sur Require. Confirmez la configuration en cliquant sur Apply dans le volet Actions à droite.

  8. Dans le volet central, ouvrez Authentication. Assurez-vous que toutes les autres méthodes d’authentification sont désactivées pour le site. La méthode d’authentification Active Directory Client Certificate Authentication ne sera jamais visible dans cette liste.

    Important

    Si un autre type d’authentification est activé, le mappage du certificat client ne fonctionnera pas.

Le site est maintenant configuré pour l’authentification du client TLS à l’aide du mappage des comptes d’utilisateurs Active Directory.