Uwierzytelnianie klienta TLS z internetowymi usługami informacyjnymi (IIS) systemu Windows i usługą Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

W tym przewodniku opisano konfigurację Internetowych usług informacyjnych systemu Windows (IIS) do uwierzytelniania klienta TLS, które mapuje użytkowników na konta Active Directory.

Pokazuje konfigurację jako przykład z Default Web Site IIS. Konfiguracja może być również używana dla innych witryn, w tym lub z wyłączeniem witryny domyślnej, ale konfiguracja obsługi TLS dotyczy całego serwera.

Prerequisits

  • Pomyślna konfiguracja logowania klienta karty inteligentnej, patrz rozdział Logowanie klienta z Active Directory. Użytkownicy muszą posiadać ważny certyfikat uwierzytelniania na Nitrokey.

  • Windows Server (serwer WWW)

    • Przyłączony do domeny Active Directory.

    • Rekord DNS lub nazwa hosta muszą być możliwe do rozwiązania przez DNS dla klientów.

    • Certyfikat TLS dla rekordu DNS. Komputery klienckie muszą ufać temu certyfikatowi TLS.

Instalacja

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Postępuj zgodnie z instrukcjami kreatora do kroku Server Roles.

  4. Wybierz rolę Web Server (IIS) z listy dostępnych ról.

  5. Postępuj zgodnie z instrukcjami kreatora do kroku Roles Services pod Web Server Role (IIS).

  6. Z listy usług ról wybierz Web Server → Security → Client Certificate Mapping Authentication.

  7. Postępuj zgodnie z instrukcjami kreatora instalacji. Instalacja musi zostać zakończona przed rozpoczęciem konfiguracji.

Konfiguracja

  1. Otwórz Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Wybierz i rozwiń serwer WWW, który chcesz skonfigurować w widoku drzewa Connections po lewej stronie.

  3. W środkowym panelu otwórz Authentication. Wybierz Active Directory Client Certificate Authentication i włącz je klikając na Enable w panelu Actions po prawej stronie.

  4. Rozwiń stronę Sites pod serwerem WWW i wybierz witrynę, którą chcesz skonfigurować.

  5. W panelu Actions po prawej stronie kliknij Bindings….

  6. Kliknij Add…, co spowoduje wyświetlenie edytora powiązań. Ustaw typ na https i nazwę hosta zgodnie z rekordem DNS i atrybutem Subject Alternative Name (SAN) certyfikatu TLS. Aktywuj pole wyboru Wyłącz TLS 1.3 przez TCP. W polu SSL certificate wybierz odpowiedni certyfikat. Potwierdź konfigurację klikając na OK.

    Wskazówka

    Aby zrozumieć wymóg wyłączenia TLS 1.3 i uzyskać instrukcje konfiguracji, jak używać go z włączonym TLS 1.3, zapoznaj się z tym Microsoft Support blog post.

  7. W środkowym panelu otwórz Ustawienia SSL. Aktywuj pole wyboru Require SSL i przycisk radiowy pod Client certificates jest ustawiony na Require. Potwierdź konfigurację klikając na Apply w panelu Actions po prawej stronie.

  8. W środkowym panelu otwórz Authentication. Upewnij się, że wszystkie inne metody uwierzytelniania są wyłączone dla witryny. Uwierzytelnianie certyfikatem klienta usługi Active Directory ** nigdy nie będzie widoczne na tej liście.

    Ważne

    Jeśli włączony jest jakikolwiek inny typ uwierzytelniania, mapowanie certyfikatu klienta nie będzie działać.

Witryna jest teraz skonfigurowana do uwierzytelniania klienta TLS przy użyciu mapowania kont użytkowników usługi Active Directory.