Autenticação de cliente TLS com o Windows Internet Information Services (IIS) e Active Diretory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Este guia descreve a configuração dos Serviços de Informação Internet (IIS) do Windows para autenticação de cliente TLS que mapeia utilizadores para contas do Active Diretory.

Ele mostra a configuração como um exemplo com o site Default Web Site do IIS. A configuração também pode ser usada para outros sites, incluindo ou excluindo o site padrão, mas a configuração do suporte a TLS é válida para todo o servidor.

Prerequisits

  • Configuração bem sucedida do logon de cliente de cartão inteligente, consulte o capítulo Logon de cliente com Active Diretory. Os utilizadores devem ter um certificado de autenticação válido num Nitrokey.

  • Windows Server (servidor Web)

    • Aderiu a um domínio do Active Diretory.

    • O registo DNS ou nome de anfitrião deve poder ser resolvido através do DNS para os clientes.

    • Certificado TLS para o registo DNS. Os computadores clientes devem confiar neste certificado TLS.

Instalação

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Siga o assistente até ao passo Funções de servidor.

  4. Selecione a função Web Server (IIS) na lista de funções disponíveis.

  5. Siga o assistente até ao passo Roles Services em Web Server Role (IIS).

  6. Na lista de serviços de função, selecione Web Server → Segurança → Autenticação de mapeamento de certificados de cliente.

  7. Siga o assistente para a instalação. A instalação deve estar concluída antes de poder começar a configurá-lo.

Configuração

  1. Abra o Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Selecione e expanda o servidor Web que pretende configurar na vista de árvore Connections, à esquerda.

  3. No painel do meio, abra Authentication. Selecione Autenticação de certificado de cliente do Active Diretory e active-a com um clique em Ativar no painel Acções à direita.

  4. Expanda o Sites no servidor Web e selecione o site que pretende configurar.

  5. No painel Actions, à direita, clique em Bindings….

  6. Clique em Add… que abre o editor de ligações. Defina o tipo para https e o nome do anfitrião de acordo com o registo DNS e o atributo Subject Alternative Name (SAN) do certificado TLS. Active a caixa de verificação Desativar TLS 1.3 sobre TCP. No campo Certificado SSL selecionar o respetivo certificado. Confirmar a configuração com um clique em OK.

    Dica

    Para compreender o requisito de desativar o TLS 1.3 e para obter instruções de configuração sobre como utilizá-lo com o TLS 1.3 ativado, consulte esta publicação do blogue Microsoft Support.

  7. No painel central, abra Definições SSL. Active a caixa de verificação Require SSL e o botão de rádio em Client certificates está definido para Require. Confirme a configuração com um clique em Aplicar no painel Acções à direita.

  8. No painel central, abra Autenticação. Certifique-se de que todos os outros métodos de autenticação estão desactivados para o site. O método Autenticação de certificado de cliente do Active Diretory nunca será visível nesta lista.

    Importante

    Se qualquer outro tipo de autenticação estiver ativado, o mapeamento do certificado do cliente não funcionará.

O site está agora configurado para autenticação de cliente TLS utilizando o mapeamento de contas de utilizador do Active Diretory.