TLS kliento autentiškumo nustatymas naudojant „Internet Information Services“ (IIS)

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Šiame vadove aprašoma „Windows Internet Information Services“ (IIS) konfigūracija, skirta TLS kliento autentiškumo nustatymui, kai naudotojai priskiriami vietinėms naudotojų paskyroms.

Jame parodytas konfigūracijos pavyzdys su IIS numatytąja interneto svetaine. Konfigūraciją galima naudoti ir kitoms svetainėms, įskaitant numatytąją svetainę arba be jos.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • „Windows“ serveris (žiniatinklio serveris)

    • DNS record

    • TLS sertifikatas DNS įrašui. Klientų kompiuteriai turi pasitikėti šiuo TLS sertifikatu.

Įrengimas

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Atlikite vedlio veiksmą Serverio vaidmenys.

  4. Iš galimų vaidmenų sąrašo pasirinkite vaidmenį Web Server (IIS).

  5. Vykdydami vedlio nurodymus pereikite prie žingsnio Vaidmenys Paslaugos pagal Žiniatinklio serverio vaidmuo (IIS).

  6. Iš vaidmenų paslaugų sąrašo pasirinkite Web Server → Security → IIS Client Certificate Mapping Authentication.

  7. Vykdykite diegimo vedlio nurodymus. Prieš pradedant konfigūruoti, reikia baigti diegimą.

Konfigūracija

  1. Atidarykite interneto informacinių paslaugų (IIS) tvarkyklę (InetMgr.exe).

  2. Kairėje pusėje esančiame medžio rodinyje Connections pasirinkite ir išskleiskite žiniatinklio serverį, kurį norite konfigūruoti.

  3. Viduriniame lange atidarykite Configuration Editor. Atidarykite skyrių system.webServer/security/authentication/iisClientCertificateMappingAuthentication ir atrakinkite jį spustelėdami Unlock Section (atrakinti skyrių ) dešiniajame Actions (veiksmai) lange.

  4. Išskleiskite Sites po žiniatinklio serveriu ir pasirinkite svetainę, kurią norite konfigūruoti.

  5. Dešinėje esančiame lange Veiksmai spustelėkite Pririšimai….

  6. Spustelėkite Add…, kad būtų atidarytas susiejimų redaktorius. Nustatykite tipą į https, o prieglobsčio vardą - pagal DNS įrašą ir TLS sertifikato atributą Subject Alternative Name (SAN). Aktyvuokite žymimąjį langelį Disable TLS 1.3 over TCP. Laukelyje SSL sertifikatas pasirinkite atitinkamą sertifikatą. Konfigūraciją patvirtinkite spustelėdami OK.

    Patarimas

    Norėdami suprasti reikalavimą išjungti TLS 1.3 ir konfigūravimo instrukcijas, kaip naudoti su įjungta TLS 1.3, žr. šį „Microsoft“ palaikymo tarnybos tinklaraščio įrašą.

  7. Viduriniame lange atidarykite SSL nustatymai. Aktyvuokite žymimąjį langelį Reikalauti SSL, o prie Kliento sertifikatai esantį radijo mygtuką nustatykite į Reikalauti. Konfigūraciją patvirtinkite spustelėdami Apply dešinėje esančiame Actions lange.

  8. Viduriniame lange atidarykite Autentifikavimas. Įsitikinkite, kad visi kiti svetainės autentifikavimo būdai yra išjungti. Šiame sąraše niekada nebus matomas IIS kliento sertifikato atvaizdavimo autentifikavimas. Pereikite atgal į svetainės šaknį.

    Svarbu

    Jei įjungtas bet koks kitas autentifikavimo tipas, kliento sertifikato atvaizdavimas neveiks.

  9. Viduriniame lange atidarykite Configuration Editor. Atidarykite skyrių system.webServer/security/authentication/iisClientCertificateMappingAuthenticationApplicationHost.config <location path='Default web site'/>. Nustatykite raktą enabled True ir įsitikinkite, kad vienas arba abu raktai manyToOneCertificateMappingsEnabled ir oneToOneCertificateMappingsEnabled yra įjungti.

  10. Vartotojo žemėlapiai turi būti įrašyti į raktus manyToOneMappings arba oneToOneMappings. Atitinkamas raktas, kurį reikia naudoti, priklauso nuo norimo naudoti atvaizdavimo. Informaciją apie atvaizdavimą ir išsamesnius konfigūravimo paaiškinimus galite rasti Microsoft Learn.

    Jei norite pakeisti raktą, vertės teksto lauko pabaigoje spustelėkite mygtuką . Taip bus atidarytas kolekcijos redaktorius. Norėdami sukurti naują atvaizdavimą, dešinėje esančiame Actions lange spustelėkite Add.

    1. Daug - vienam žemėlapių sudarymas

      Užpildykite toliau pateiktoje lentelėje nurodytus laukus.

      Key

      Vertė

      enabled

      True

      name

      <name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      Laukas name naudojamas kaip kolekcijos identifikatorius, o lauke userName ir password reikia nurodyti vietinio naudotojo, į kurį norite atvaizduoti, vartotojo vardą ir slaptažodį. Lauke rules turi būti įrašytas leidžiamų arba neleidžiamų sertifikatų aprašymas. Norėdami pakeisti taisyklių raktą, spustelėkite mygtuką, esantį reikšmės teksto lauko pabaigoje. Bus atvertas naujas rinkinio redaktoriaus langas. Norėdami sukurti naują taisyklę, dešinėje esančiame lange Veiksmai spustelėkite Pridėti.

      Užpildykite toliau pateiktoje lentelėje nurodytus laukus.

      Key

      Vertė

      certificateField

      Subject

      certificateSubField

      O

      compareCaseSensitive

      True

      matchCriteria

      <criteria-value-of-o-field-in-certificate-subject>

      Uždarykite kolekcijos redaktoriaus langus.

    2. Atvaizdavimas „vienas su vienu

      Užpildykite laukus, kaip nurodyta toliau pateiktoje lentelėje.

      Key

      Vertė

      certificate

      <base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Base64 koduotą sertifikatą, skirtą certificate laukui, galima gauti iš „Nitrokey“ naudojant Nitropija ir komandą nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Laukams userName ir password reikia nurodyti vietinio naudotojo, į kurį norite atvaizduoti, vartotojo vardą ir slaptažodį.

      Uždarykite kolekcijos redaktoriaus langą.

    Patvirtinkite konfigūraciją spustelėdami Apply dešinėje esančiame Actions lange.

Dabar svetainė sukonfigūruota TLS kliento autentifikavimui naudojant vietinės naudotojo paskyros atvaizdavimą.