Windowsインターネットインフォメーションサービス(IIS)とActive DirectoryによるTLSクライアント認証

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

このガイドでは、Active DirectoryアカウントにユーザーをマッピングするTLSクライアント認証のためのWindowsインターネットインフォメーションサービス(IIS)の構成について説明します。

IISの*Default Web Site* 。この構成は、デフォルト・サイトを含む、またはデフォルト・サイトを除く他のサイトにも使用できるが、TLSサポートの構成はサーバー全体である。

Prerequisits

  • スマートカードクライアントログオンのセットアップに成功した場合、`Active Directoryを使用したクライアントログオン<client_logon_with_active_directory.html>`__の章を参照してください。ユーザーは、ニトロキーの有効な認証証明書を持っている必要があります。

  • Windowsサーバー(ウェブサーバー)

    • Active Directoryドメインに参加している。

    • DNSレコードまたはホスト名は、クライアントがDNSで解決できなければならない。

    • DNSレコードのTLS証明書。クライアント・コンピュータはこのTLS証明書を信頼しなければならない。

インストール

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. ウィザードのステップ**Server Roles** に従ってください。

  4. 利用可能なロールのリストから、Web Server (IIS)

  5. Web Server Role (IIS) の下のステップ**Roles Services** までウィザードに従ってください。

  6. 役割サービスのリストから、Web Server → Security → Client Certificate Mapping Authentication を選択する。

  7. ウィザードに従ってインストールします。設定を開始する前に、インストールが終了している必要があります。

構成

  1. Internet Information Services (IIS) Manager (InetMgr.exe) を開きます。

  2. 左側の**Connections** ツリービューで、設定する Web サーバーを選択して展開します。

  3. 中央のペインから**Authentication** を開く。Active Directory クライアント証明書認証 を選択し、右側の**アクション** ペインの**有効化** をクリックして有効にする。

  4. Web サーバーの下にある**Sites** を展開し、設定するサイトを選択します。

  5. 右側の**Actions** ペインで**Bindings...** をクリックする。

  6. Add... をクリックし、バインディングエディタを表示する。タイプを**https** に設定し、ホスト名をDNSレコードとTLS証明書のサブジェクト代替名(SAN)属性に従って設定する。Disable TLS 1.3 over TCP のチェックボックスをオンにします。SSL証明書 フィールドで、それぞれの証明書を選択します。OK をクリックして設定を確認します。

    Tip

    TLS 1.3を無効にする要件と、TLS 1.3を有効にして使用する方法の設定手順については、`マイクロソフトサポートブログポスト<https://techcommunity.microsoft.com/blog/iis-support-blog/windows-server-2022-iis-web-site-tls-1-3-does-not-work-with-client-certificate-a/4129738>`__を参照してください。

  7. 中央のペインから**SSL Settings** を開きます。チェックボックス**[SSL を要求する]** を有効にし、[クライアント証明書] のラジオボタンを**[要求する]** に設定します。右側の**アクション** ペインの**適用** をクリックして設定を確認します。

  8. 中央のペインから**Authentication** を開きます。サイトの他の認証方法がすべて無効になっていることを確認してください。Active Directory クライアント証明書認証 がこのリストに表示されることはありません。

    重要

    他のタイプの認証が有効になっている場合、クライアント証明書のマッピングは機能しない。

Active Directoryのユーザー・アカウント・マッピングを使用したTLSクライアント認証が設定されました。