TLS klienta autentificēšana ar Windows Interneta informācijas dienestu (IIS) un Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Šajā rokasgrāmatā ir aprakstīta Windows Interneta informācijas pakalpojumu (IIS) konfigurēšana TLS klienta autentificēšanai, kurā lietotāji tiek piesaistīti Active Directory kontiem.

Tajā kā piemērs ir parādīta konfigurācija ar IIS vietnes Default Web Site. Šo konfigurāciju var izmantot arī citām vietnēm, ieskaitot vai izslēdzot noklusējuma vietni, taču TLS atbalsta konfigurācija ir paredzēta visam serverim.

Prerequisits

  • Veiksmīga viedkaršu klienta pieteikšanās iestatīšana, skatiet nodaļu Klienta pieteikšanās ar Active Directory. Lietotājiem ir jābūt derīgam autentifikācijas sertifikātam Nitrokey.

  • Windows serveris (tīmekļa serveris)

    • Pievienots Active Directory domēnam.

    • DNS ieraksts vai hostname jābūt iespējams atrisināt, izmantojot DNS klientiem.

    • TLS sertifikāts DNS ierakstam. Klienta datoriem ir jāuzticas šim TLS sertifikātam.

Uzstādīšana

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Izpildiet vedņa norādījumus līdz solim Servera lomas.

  4. No pieejamo lomu saraksta atlasiet lomu Web Server (IIS).

  5. Izpildiet vedņa norādījumus līdz solim Lomas Pakalpojumi sadaļā Web servera loma (IIS).

  6. No lomu pakalpojumu saraksta izvēlieties Web Server → Drošība → Klienta sertifikātu kartēšanas autentifikācija.

  7. Sekojiet vedņa norādījumiem, lai instalētu. Instalēšana jāpabeidz, pirms varat sākt konfigurēšanu.

Konfigurācija

  1. Atveriet Interneta informācijas pakalpojumu (IIS) pārvaldnieku (InetMgr.exe).

  2. Atlasiet un izvērsiet tīmekļa serveri, kuru vēlaties konfigurēt, Savienojumi koka skatā kreisajā pusē.

  3. Vidējā panelī atveriet Autentifikācija. Atlasiet Active Directory Client Certificate Authentication un iespējojiet to, klikšķinot uz Enable (Ieslēgt) Actions panelī labajā pusē.

  4. Izvērsiet vietni Sites zem tīmekļa servera un atlasiet vietni, kuru vēlaties konfigurēt.

  5. Panelī Darbības labajā pusē noklikšķiniet uz Saistības….

  6. Noklikšķiniet uz Add…, lai atvērtu piesaistes redaktoru. Iestatiet tipu https un viesvietas nosaukumu atbilstoši DNS ierakstam un TLS sertifikāta atribūtam Subject Alternative Name (SAN). Aktivizējiet izvēles rūtiņu Disable TLS 1.3 over TCP. Laukā SSL sertifikāts atlasiet attiecīgo sertifikātu. Apstipriniet konfigurāciju, noklikšķinot uz OK.

    Padoms

    Lai izprastu prasību atspējot TLS 1.3 un konfigurācijas norādījumus, kā to izmantot ar iespējotu TLS 1.3, skatiet šo Microsoft atbalsta dienesta emuāra ierakstu.

  7. Vidējā panelī atveriet SSL iestatījumi. Aktivizējiet izvēles rūtiņu Pieprasīt SSL un izvēles pogu zem Klienta sertifikāti iestatiet uz Pieprasīt. Apstipriniet konfigurāciju ar klikšķi uz Apply ** Actions** panelī labajā pusē.

  8. Vidējā panelī atveriet Autentifikācija. Pārliecinieties, ka vietnei ir deaktivizētas visas citas autentifikācijas metodes. Šajā sarakstā nekad nebūs redzama Active Directory klienta sertifikāta autentifikācija.

    Svarīgi

    Ja ir iespējota cita veida autentifikācija, klienta sertifikāta kartēšana nedarbosies.

Tagad vietne ir konfigurēta TLS klienta autentificēšanai, izmantojot Active Directory lietotāju kontu kartēšanu.