TLS-clientverificatie met Windows Internet Information Services (IIS) en Active Directory

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive

Deze handleiding beschrijft de configuratie van Windows Internet Information Services (IIS) voor TLS-clientverificatie die gebruikers koppelt aan Active Directory-accounts.

Het toont de configuratie als voorbeeld met de Default Web Site van IIS. De configuratie kan ook worden gebruikt voor andere sites, inclusief of exclusief de standaardsite, maar de configuratie van TLS-ondersteuning is serverbreed.

Prerequisits

• Succesvolle instelling van smartcard-clientaanmelding, zie hoofdstuk Clientaanmelding met Active Directory. Gebruikers moeten een geldig verificatiecertificaat op een Nitrokey hebben.

• Windows Server (webserver)

  • Aangesloten op een Active Directory-domein.

  • DNS-record of hostnaam moet kunnen worden omgezet via DNS voor de clients.

  • TLS-certificaat voor het DNS-record. Clientcomputers moeten dit TLS-certificaat vertrouwen.

Installatie

1. Open the Server Manager.

2. In the menubar on the top click Manage → Add Roles and Features.

3. Volg de wizard tot de stap Server Roles.

4. Selecteer de rol Web Server (IIS) in de lijst met beschikbare rollen.

5. Volg de wizard naar de stap Roles Services onder Web Server Role (IIS).

6. Selecteer in de lijst met rolservices Web Server → Security → Client Certificate Mapping Authentication.

7. Volg de installatiewizard. De installatie moet voltooid zijn voordat u kunt beginnen met configureren.

Configuratie

1. Open de Internet Information Services (IIS) Manager (InetMgr.exe).

2. Selecteer en vouw de webserver die je wilt configureren uit in de boomstructuurweergave Connections aan de linkerkant.

3. Open in het middelste deelvenster Authentication. Selecteer Active Directory Client Certificate Authentication en schakel het in met een klik op Enable in het paneel Actions aan de rechterkant.

4. Vouw de Sites uit onder de webserver en selecteer de site die je wilt configureren.

5. Klik in het deelvenster Acties aan de rechterkant op Bindingen….

6. Klik op Add… waarmee de bindingseditor wordt geopend. Stel het type in op https en de hostnaam volgens het DNS-record en het SAN-attribuut (Subject Alternative Name) van het TLS-certificaat. Schakel het selectievakje TLS 1.3 over TCP uitschakelen in. Selecteer in het veld SSL-certificaat het betreffende certificaat. Bevestig de configuratie met een klik op OK.

   Tip

   Om de vereiste om TLS 1.3 uit te schakelen te begrijpen en voor een configuratie-instructie over hoe het te gebruiken met ingeschakelde TLS 1.3, raadpleegt u deze Microsoft Support blog post.

7. Open in het middelste deelvenster SSL Settings. Activeer het selectievakje SSL vereisen en zet het keuzerondje onder Clientcertificaten op Vereisen. Bevestig de configuratie met een klik op Apply in het paneel Actions aan de rechterkant.

8. Open in het middelste deelvenster Authentication. Zorg ervoor dat alle andere authenticatiemethoden zijn uitgeschakeld voor de site. De Active Directory Client Certificate Authentication zal nooit zichtbaar zijn in deze lijst.

   Belangrijk

   Als een ander type authenticatie is ingeschakeld, zal de toewijzing van het cliëntcertificaat niet werken.

De site is nu geconfigureerd voor TLS-clientverificatie met behulp van Active Directory user account mapping.