TLS ügyfélhitelesítés a Windows Internet Information Services (IIS) és az Active Directory segítségével

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Ez az útmutató a Windows Internet Information Services (IIS) TLS-ügyfélhitelesítéshez szükséges konfigurációját ismerteti, amely a felhasználókat Active Directory-fiókokhoz rendeli hozzá.

A konfigurációt példaként mutatja be az IIS Default Web Site címen. A konfiguráció más webhelyekhez is használható, beleértve vagy kizárva az alapértelmezett webhelyet, de a TLS-támogatás konfigurálása a kiszolgáló egészére vonatkozik.

Prerequisits

  • Az intelligens kártyás ügyfél bejelentkezésének sikeres beállítása, lásd a Ügyfél bejelentkezése az Active Directoryval fejezetet. A felhasználóknak érvényes hitelesítési tanúsítvánnyal kell rendelkezniük a Nitrokey-n.

  • Windows Server (webkiszolgáló)

    • Egy Active Directory tartományhoz csatlakozik.

    • A DNS-rekordnak vagy a hostnévnek a DNS-en keresztül feloldhatónak kell lennie az ügyfelek számára.

    • TLS tanúsítvány a DNS rekordhoz. Az ügyfélszámítógépeknek meg kell bízniuk ebben a TLS-tanúsítványban.

Telepítés

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Kövesse a varázslót a Kiszolgálói szerepkörök lépésig.

  4. Válassza ki a Web Server (IIS) szerepet a rendelkezésre álló szerepkörök listájából.

  5. Kövesse a varázslót a Szerepkörök Szolgáltatások ** Webkiszolgáló szerepkör (IIS)** alatt található lépésig .

  6. A szerepkör-szolgáltatások listájából válassza a Webkiszolgáló → Biztonság → Ügyféltanúsítvány-leképezés hitelesítés.

  7. Kövesse a varázslót a telepítéshez. A telepítést be kell fejezni, mielőtt elkezdheti a konfigurálást.

Konfiguráció

  1. Nyissa meg a Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Válassza ki és bontsa ki a konfigurálni kívánt webkiszolgálót a Connections bal oldali fa nézetben.

  3. A középső ablaktáblán nyissa meg a Hitelesítés. Válassza ki a Active Directory ügyféltanúsítvány-hitelesítés lehetőséget, és engedélyezze a Enable gombra kattintva a Actions jobb oldali ablaktáblában.

  4. Bontsa ki a Sites oldalt a webkiszolgáló alatt, és válassza ki a konfigurálni kívánt webhelyet.

  5. A Műveletek ablaktáblán a jobb oldalon kattintson a Kötések….

  6. Kattintson a Add… gombra, amely megnyitja a kötésszerkesztőt. Állítsa be a típust https és a hostnevet a DNS rekord és a TLS tanúsítvány Subject Alternative Name (SAN) attribútumának megfelelően. Aktiválja a Disable TLS 1.3 over TCP jelölőnégyzetet. A SSL-tanúsítvány mezőben válassza ki a megfelelő tanúsítványt. Erősítse meg a konfigurációt a OK gombra kattintással.

    Javaslat

    A TLS 1.3 letiltására vonatkozó követelmény megértéséhez, valamint a TLS 1.3 engedélyezésével történő használatára vonatkozó konfigurációs utasításokért olvassa el ezt a Microsoft Support blogbejegyzést.

  7. A középső ablaktáblán nyissa meg a SSL-beállítások. Aktiválja a Require SSL jelölőnégyzetet, és a Client certificates alatti rádiógombot Require. Erősítse meg a konfigurációt a Apply gombra kattintva a Actions ablaktábla jobb oldali részén.

  8. A középső ablaktáblán nyissa meg a Hitelesítés. Győződjön meg róla, hogy minden más hitelesítési módszer ki van kapcsolva a webhelyen. A Active Directory ügyféltanúsítvány-hitelesítés soha nem lesz látható ebben a listában.

    Fontos

    Ha más típusú hitelesítés van engedélyezve, az ügyféltanúsítvány hozzárendelése nem fog működni.

A webhelyet mostantól a TLS-ügyfélhitelesítésre konfiguráltuk az Active Directory felhasználói fiókok hozzárendelésével.