TLS ügyfél-hitelesítés az Internet Information Services (IIS) szolgáltatással (IIS)

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive

Ez az útmutató a Windows Internet Information Services (IIS) TLS-ügyfélhitelesítéshez szükséges konfigurációját ismerteti, amely a felhasználókat helyi felhasználói fiókokhoz rendeli.

A konfigurációt példaként mutatja be az IIS Default Web Site címen. A konfiguráció más webhelyekhez is használható, beleértve vagy kizárva az alapértelmezett webhelyet.

Prerequisits

• Nitrokey 3 with PIV client authentication certificate.

• Windows Server (webkiszolgáló)

  • DNS record

  • TLS tanúsítvány a DNS rekordhoz. Az ügyfélszámítógépeknek meg kell bízniuk ebben a TLS-tanúsítványban.

Telepítés

1. Open the Server Manager.

2. In the menubar on the top click Manage → Add Roles and Features.

3. Kövesse a varázslót a Kiszolgálói szerepkörök lépésig.

4. Válassza ki a Web Server (IIS) szerepet a rendelkezésre álló szerepkörök listájából.

5. Kövesse a varázslót a Szerepkörök Szolgáltatások ** Webkiszolgáló szerepkör (IIS)** alatt található lépésig .

6. A szerepkör-szolgáltatások listájából válassza a Web Server → Security → IIS Client Certificate Mapping Authentication.

7. Kövesse a varázslót a telepítéshez. A telepítést be kell fejezni, mielőtt elkezdheti a konfigurálást.

Konfiguráció

1. Nyissa meg a Internet Information Services (IIS) Manager (InetMgr.exe).

2. Válassza ki és bontsa ki a konfigurálni kívánt webkiszolgálót a Connections bal oldali fa nézetben.

3. A középső ablaktáblán nyissa meg a Configuration Editor. Nyissa meg a system.webServer/security/authentication/iisClientCertificateMappingAuthentication szakaszt, és oldja fel a Unlock Section gombra kattintva a Actions ablaktábla jobb oldali részén található Actions .

4. Bontsa ki a Sites oldalt a webkiszolgáló alatt, és válassza ki a konfigurálni kívánt webhelyet.

5. A Műveletek ablaktáblán a jobb oldalon kattintson a Kötések….

6. Kattintson a Add… gombra, amely megnyitja a kötésszerkesztőt. Állítsa be a típust https és a hostnevet a DNS rekord és a TLS tanúsítvány Subject Alternative Name (SAN) attribútumának megfelelően. Aktiválja a Disable TLS 1.3 over TCP jelölőnégyzetet. A SSL-tanúsítvány mezőben válassza ki a megfelelő tanúsítványt. Erősítse meg a konfigurációt a OK gombra kattintással.

   Javaslat

   A TLS 1.3 letiltására vonatkozó követelmény megértéséhez, valamint a TLS 1.3 engedélyezésével történő használatára vonatkozó konfigurációs utasításokért olvassa el ezt a Microsoft Support blogbejegyzést.

7. A középső ablaktáblán nyissa meg a SSL-beállítások. Aktiválja a Require SSL jelölőnégyzetet, és a Client certificates alatti rádiógombot Require. Erősítse meg a konfigurációt a Apply gombra kattintva a Actions ablaktábla jobb oldali részén.

8. A középső ablaktáblán nyissa meg a Hitelesítés. Győződjön meg róla, hogy minden más hitelesítési módszer ki van kapcsolva a webhelyen. A IIS Client Certificate Mapping Authentication soha nem lesz látható ebben a listában. Navigáljon vissza a webhely gyökeréhez.

   Fontos

   Ha más típusú hitelesítés van engedélyezve, az ügyféltanúsítvány hozzárendelése nem fog működni.

9. A középső ablaktáblán nyissa meg a Configuration Editor. Nyissa meg a system.webServer/security/authentication/iisClientCertificateMappingAuthentication szakaszt a ApplicationHost.config <location path='Default web site'/> részből. Állítsa be a enabled kulcsot a True kulcsra, és győződjön meg arról, hogy a manyToOneCertificateMappingsEnabled és a oneToOneCertificateMappingsEnabled kulcsok közül az egyik vagy mindkét kulcs engedélyezve van.

10. A felhasználói hozzárendeléseket a manyToOneMappings vagy a oneToOneMappings kulcsokba kell írni. A használni kívánt leképezéstől függ, hogy melyik kulcsot kell használni. A leképezéssel kapcsolatos információkat és részletesebb konfigurációs magyarázatokat a Microsoft Learn oldalon talál.

    A kulcs módosításához kattintson az érték szövegmező végén található … gombra. Ez megnyitja a gyűjteményszerkesztőt. Új hozzárendelés létrehozásához kattintson a Add gombra a Actions ablaktábla jobb oldali részén.

    1. Sok az egyhez leképezés

       Töltse ki a mezőket az alábbi táblázatban látható módon.

       Key	Érték
       enabled	True
       name	„<name-for-the-collection>
       password	<user-password>
       permissionMode	Allow
       userName	<username>

       A name mezőt a gyűjtemény azonosítójaként használjuk, a userName és a password mezők pedig a leképezni kívánt helyi felhasználó felhasználónevét és jelszavát igénylik. A rules mezőnek tartalmaznia kell az engedélyezett vagy megtagadott tanúsítványok leírását. A szabálykulcs módosításához kattintson az érték szövegmező végén található … gombra. Ez megnyitja a gyűjteményszerkesztő új ablakát. Új szabály létrehozásához kattintson a Add gombra a Actions ablaktábla jobb oldali részén.

       Töltse ki a mezőket az alábbi táblázatban látható módon.

       Key	Érték
       certificateField	Subject
       certificateSubField	O
       „compareCaseSensitive	True
       „matchCriteria	„<criteria-value-of-o-field-in-certificate-subject>

       Zárja be a Collection Editor ablakokat.

    2. Egy az egyhez feltérképezés

       Töltse ki a mezőket az alábbi táblázat szerint.

       Key	Érték
       certificate	„<base64-encoded-certificate>
       enabled	True
       password	<user-password>
       userName	<username>

       A certificate mezőhöz tartozó Base64 kódolt tanúsítványt a Nitrokey-ből a Nitropia és a nitropy nk3 piv --experimental read-certificate --format PEM --key 9A paranccsal lehet kinyerni. A userName és a password mezőkhöz a leképezni kívánt helyi felhasználó felhasználóneve és jelszava szükséges.

       Zárja be a Collection Editor ablakot.

    Erősítse meg a konfigurációt a Apply gombra kattintva a Actions jobb oldali ablaktáblában.

A webhely mostantól a TLS-ügyfélhitelesítésre van konfigurálva a helyi felhasználói fiókok hozzárendelésével.