Autenticazione client TLS con Windows Internet Information Services (IIS) e Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Questa guida descrive la configurazione di Windows Internet Information Services (IIS) per l’autenticazione client TLS che mappa gli utenti agli account di Active Directory.

Viene mostrata la configurazione come esempio con il sito Web predefinito ** di IIS. La configurazione può essere utilizzata anche per altri siti, incluso o escluso il sito predefinito, ma la configurazione del supporto TLS è a livello di server.

Prerequisits

  • Impostazione corretta del logon client della smart card, fare riferimento al capitolo Logon client con Active Directory. Gli utenti devono disporre di un certificato di autenticazione valido su Nitrokey.

  • Server Windows (server web)

    • Unita a un dominio Active Directory.

    • Il record DNS o l’hostname devono poter essere risolti tramite DNS per i client.

    • certificato TLS per il record DNS. I computer client devono fidarsi di questo certificato TLS.

Installazione

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Seguire la procedura guidata fino al passo Server Roles.

  4. Selezionare il ruolo Web Server (IIS) dall’elenco dei ruoli disponibili.

  5. Seguire la procedura guidata fino al passaggio Ruoli servizi sotto Ruolo server web (IIS).

  6. Dall’elenco dei servizi di ruolo selezionare Web Server → Sicurezza → Autenticazione mappatura certificati client.

  7. Seguire la procedura guidata per l’installazione. L’installazione deve essere completata prima di poter iniziare la configurazione.

Configurazione

  1. Aprire Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Selezionare ed espandere il server Web che si desidera configurare nella struttura ad albero Connections a sinistra.

  3. Dal riquadro centrale aprite Autenticazione. Selezionate Active Directory Client Certificate Authentication e abilitatela facendo clic su Enable nel riquadro Actions a destra.

  4. Espandere il sito Sites sotto il server web e selezionare il sito da configurare.

  5. Nel riquadro Actions a destra fare clic su Bindings….

  6. Fare clic su Add… per visualizzare l’editor dei binding. Impostare il tipo su https e il nome host in base al record DNS e all’attributo Subject Alternative Name (SAN) del certificato TLS. Attivare la casella di controllo Disabilita TLS 1.3 su TCP. Nel campo Certificato SSL selezionare il rispettivo certificato. Confermare la configurazione con un clic su OK.

    Suggerimento

    Per comprendere il requisito di disabilitare TLS 1.3 e per le istruzioni di configurazione su come utilizzarlo con TLS 1.3 abilitato, fate riferimento a questo post del blog del supporto Microsoft ` <https://techcommunity.microsoft.com/blog/iis-support-blog/windows-server-2022-iis-web-site-tls-1-3-does-not-work-with-client-certificate-a/4129738>` __.

  7. Dal pannello centrale aprire Impostazioni SSL. Attivate la casella di controllo Require SSL e il pulsante di opzione sotto Client certificates è impostato su Require. Confermare la configurazione facendo clic su Apply nel riquadro Actions a destra.

  8. Dal riquadro centrale aprire Autenticazione. Assicurarsi che tutti gli altri metodi di autenticazione siano disattivati per il sito. Il metodo Active Directory Client Certificate Authentication non sarà mai visibile in questo elenco.

    Importante

    Se è abilitato un altro tipo di autenticazione, la mappatura del certificato client non funzionerà.

Il sito è ora configurato per l’autenticazione client TLS utilizzando la mappatura degli account utente di Active Directory.