TLS kliento autentiškumo nustatymas naudojant „Windows“ interneto informacines paslaugas (IIS) ir „Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Šiame vadove aprašoma „Windows Internet Information Services“ (IIS) konfigūracija, skirta TLS kliento autentiškumo nustatymui, kai naudotojai priskiriami „Active Directory“ paskyroms.

Jame parodytas konfigūracijos pavyzdys su IIS numatytąja interneto svetaine. Konfigūraciją galima naudoti ir kitoms svetainėms, įskaitant arba neįtraukiant numatytąją svetainę, tačiau TLS palaikymo konfigūracija taikoma visam serveriui.

Prerequisits

  • Sėkmingas išmaniosios kortelės kliento prisijungimo nustatymas, žr. skyrių Kliento prisijungimas su „Active Directory“. Vartotojai turi turėti galiojantį autentifikavimo sertifikatą „Nitrokey“.

  • „Windows“ serveris (žiniatinklio serveris)

    • Prijungtas prie „Active Directory“ domeno.

    • DNS įrašą arba prieglobsčio vardą turi būti įmanoma nustatyti per DNS klientams.

    • TLS sertifikatas DNS įrašui. Klientų kompiuteriai turi pasitikėti šiuo TLS sertifikatu.

Įrengimas

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Atlikite vedlio veiksmą Serverio vaidmenys.

  4. Iš galimų vaidmenų sąrašo pasirinkite vaidmenį Web Server (IIS).

  5. Vykdydami vedlio nurodymus pereikite prie žingsnio Vaidmenys Paslaugos pagal Žiniatinklio serverio vaidmuo (IIS).

  6. Iš vaidmenų paslaugų sąrašo pasirinkite Web Server → Security → Client Certificate Mapping Authentication.

  7. Vykdykite diegimo vedlio nurodymus. Prieš pradedant konfigūruoti, reikia baigti diegimą.

Konfigūracija

  1. Atidarykite interneto informacinių paslaugų (IIS) tvarkyklę (InetMgr.exe).

  2. Kairėje pusėje esančiame medžio rodinyje Connections pasirinkite ir išskleiskite žiniatinklio serverį, kurį norite konfigūruoti.

  3. Viduriniame lange atidarykite Autentifikavimas. Pasirinkite Active Directory Client Certificate Authentication ir įgalinkite jį spustelėdami Enable dešinėje esančiame Actions lange.

  4. Išskleiskite Sites po žiniatinklio serveriu ir pasirinkite svetainę, kurią norite konfigūruoti.

  5. Dešinėje esančiame lange Veiksmai spustelėkite Pririšimai….

  6. Spustelėkite Add…, kad būtų atidarytas susiejimų redaktorius. Nustatykite tipą į https, o prieglobsčio vardą - pagal DNS įrašą ir TLS sertifikato atributą Subject Alternative Name (SAN). Aktyvuokite žymimąjį langelį Disable TLS 1.3 over TCP. Laukelyje SSL sertifikatas pasirinkite atitinkamą sertifikatą. Konfigūraciją patvirtinkite spustelėdami OK.

    Patarimas

    Norėdami suprasti reikalavimą išjungti TLS 1.3 ir konfigūravimo instrukcijas, kaip naudoti su įjungta TLS 1.3, žr. šį „Microsoft“ palaikymo tarnybos tinklaraščio įrašą.

  7. Viduriniame lange atidarykite SSL nustatymai. Aktyvuokite žymimąjį langelį Reikalauti SSL, o prie Kliento sertifikatai esantį radijo mygtuką nustatykite į Reikalauti. Konfigūraciją patvirtinkite spustelėdami Apply dešinėje esančiame Actions lange.

  8. Viduriniame lange atidarykite Autentifikavimas. Įsitikinkite, kad visi kiti svetainės autentifikavimo būdai yra išjungti. Šiame sąraše niekada nebus matomas „Active Directory“ kliento sertifikato autentiškumo nustatymas.

    Svarbu

    Jei įjungtas bet koks kitas autentifikavimo tipas, kliento sertifikato atvaizdavimas neveiks.

Dabar svetainė sukonfigūruota TLS kliento autentifikavimui naudojant „Active Directory“ naudotojo paskyros atvaizdavimą.