TLS klienta autentificēšana ar Interneta informācijas dienestu (IIS)

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Šajā rokasgrāmatā ir aprakstīta Windows Interneta informācijas pakalpojumu (IIS) konfigurēšana TLS klienta autentificēšanai, kurā lietotāji tiek piesaistīti vietējiem lietotāju kontiem.

Tajā kā piemērs ir parādīta konfigurācija ar IIS vietnes Default Web Site. Šo konfigurāciju var izmantot arī citām vietnēm, ieskaitot vai izslēdzot noklusējuma vietni.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • Windows serveris (tīmekļa serveris)

    • DNS record

    • TLS sertifikāts DNS ierakstam. Klienta datoriem ir jāuzticas šim TLS sertifikātam.

Uzstādīšana

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Izpildiet vedņa norādījumus līdz solim Servera lomas.

  4. No pieejamo lomu saraksta atlasiet lomu Web Server (IIS).

  5. Izpildiet vedņa norādījumus līdz solim Lomas Pakalpojumi sadaļā Web servera loma (IIS).

  6. No lomu pakalpojumu saraksta izvēlieties Web Server → Drošība → IIS klienta sertifikātu kartēšanas autentifikācija.

  7. Sekojiet vedņa norādījumiem, lai instalētu. Instalēšana jāpabeidz, pirms varat sākt konfigurēšanu.

Konfigurācija

  1. Atveriet Interneta informācijas pakalpojumu (IIS) pārvaldnieku (InetMgr.exe).

  2. Atlasiet un izvērsiet tīmekļa serveri, kuru vēlaties konfigurēt, Savienojumi koka skatā kreisajā pusē.

  3. Vidējā panelī atveriet Configuration Editor. Atveriet sadaļu system.webServer/security/authentication/iisClientCertificateMappingAuthentication un atbloķējiet to ar klikšķi uz Unlock Section (Atbloķēt sadaļu Actions (Darbības) panelī pa labi.

  4. Izvērsiet vietni Sites zem tīmekļa servera un atlasiet vietni, kuru vēlaties konfigurēt.

  5. Panelī Darbības labajā pusē noklikšķiniet uz Saistības….

  6. Noklikšķiniet uz Add…, lai atvērtu piesaistes redaktoru. Iestatiet tipu https un viesvietas nosaukumu atbilstoši DNS ierakstam un TLS sertifikāta atribūtam Subject Alternative Name (SAN). Aktivizējiet izvēles rūtiņu Disable TLS 1.3 over TCP. Laukā SSL sertifikāts atlasiet attiecīgo sertifikātu. Apstipriniet konfigurāciju, noklikšķinot uz OK.

    Padoms

    Lai izprastu prasību atspējot TLS 1.3 un konfigurācijas norādījumus, kā to izmantot ar iespējotu TLS 1.3, skatiet šo Microsoft atbalsta dienesta emuāra ierakstu.

  7. Vidējā panelī atveriet SSL iestatījumi. Aktivizējiet izvēles rūtiņu Pieprasīt SSL un izvēles pogu zem Klienta sertifikāti iestatiet uz Pieprasīt. Apstipriniet konfigurāciju ar klikšķi uz Apply ** Actions** panelī labajā pusē.

  8. Vidējā panelī atveriet Autentifikācija. Pārliecinieties, ka vietnei ir deaktivizētas visas citas autentifikācijas metodes. Šajā sarakstā IIS klienta sertifikāta kartēšanas autentifikācija nekad nebūs redzama. Atgriezieties atpakaļ uz vietnes sakni.

    Svarīgi

    Ja ir iespējota cita veida autentifikācija, klienta sertifikāta kartēšana nedarbosies.

  9. Vidējā panelī atveriet Configuration Editor. Atveriet sadaļu system.webServer/security/authentication/iisClientCertificateMappingAuthentication no ApplicationHost.config <location path='Default web site'/>. Iestatiet atslēgu enabled True un pārliecinieties, vai ir iespējota viena vai abas atslēgas manyToOneCertificateMappingsEnabled un oneToOneCertificateMappingsEnabled.

  10. Lietotāja kartēšana jāraksta uz atslēgām manyToOneMappings vai oneToOneMappings. Attiecīgā atslēga, kas jāizmanto, ir atkarīga no vēlamās izmantotās kartēšanas. Informāciju par kartēšanu un detalizētākus konfigurācijas skaidrojumus var atrast Microsoft Learn.

    Lai mainītu atslēgu, noklikšķiniet uz pogas vērtības teksta lauka beigās. Tādējādi tiks atvērts Kolekciju redaktors. Lai izveidotu jaunu kartēšanu, noklikšķiniet uz Add (Pievienot ) Actions (Darbības) panelī labajā pusē.

    1. Kartēšana no daudziem uz vienu

      Aizpildiet laukus, kā parādīts tālāk tabulā.

      Key

      Vērtība

      enabled

      True

      name

      <name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      Lauks name tiek izmantots kā kolekcijas identifikators, bet laukos userName un password tiek prasīts vietējā lietotāja lietotājvārds un parole, uz kuru vēlaties kartēt. Laukā rules jānorāda atļauto vai aizliegto sertifikātu apraksts. Lai mainītu noteikumu atslēgu, noklikšķiniet uz pogas vērtības teksta lauka beigās. Tādējādi tiks atvērts jauns kolekcijas redaktora logs. Lai izveidotu jaunu noteikumu, noklikšķiniet uz Add (Pievienot ) Actions (Darbības) logā labajā pusē.

      Aizpildiet laukus, kā parādīts tālāk tabulā.

      Key

      Vērtība

      certificateField

      Subject

      certificateSubField

      O

      compareCaseSensitive

      True

      matchCriteria

      <criteria-value-of-o-field-in-certificate-subject>

      Aizveriet kolekcijas redaktora logus.

    2. Viena pret vienu kartēšana

      Aizpildiet laukus, kā norādīts tabulā turpmāk.

      Key

      Vērtība

      certificate

      <base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Base64 kodētu sertifikātu certificate laukam var iegūt no Nitrokey ar Nitropija un komandu nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Laukiem userName un password ir nepieciešams lietotājvārds un parole lokālajam lietotājam, kuru vēlaties kartēt.

      Aizveriet logu Collection Editor.

    Apstipriniet konfigurāciju, noklikšķinot uz Apply, kas atrodas Actions panelī labajā pusē.

Tagad vietne ir konfigurēta TLS klienta autentificēšanai, izmantojot vietējo lietotāja kontu kartēšanu.