Autentificarea clientului TLS cu Internet Information Services (IIS)

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Acest ghid descrie configurarea Windows Internet Information Services (IIS) pentru autentificarea clienților TLS care mapează utilizatorii în conturi de utilizator locale.

Acesta prezintă configurația ca un exemplu cu Default Web Site din IIS. Configurația poate fi utilizată și pentru alte site-uri, inclusiv sau excluzând site-ul implicit.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • Server Windows (server web)

    • DNS record

    • Certificatul TLS pentru înregistrarea DNS. Calculatoarele client trebuie să aibă încredere în acest certificat TLS.

Instalare

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Urmați expertul până la pasul Server Roles.

  4. Selectați rolul Web Server (IIS) din lista de roluri disponibile.

  5. Urmați expertul până la pasul Roles Services sub Web Server Role (IIS).

  6. Din lista de servicii cu rol, selectați Web Server → Security → IIS Client Certificate Mapping Authentication.

  7. Urmați expertul pentru instalare. Instalarea trebuie să fie finalizată înainte de a începe configurarea.

Configurație

  1. Deschideți Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Selectați și extindeți serverul web pe care doriți să îl configurați în vizualizarea în arbore Connections din stânga.

  3. Din panoul din mijloc, deschideți Configuration Editor. Deschideți secțiunea system.webServer/security/authentication/iisClientCertificateMappingAuthentication și deblocați-o cu un clic pe Unlock Section în panoul Actions din dreapta.

  4. Extindeți Sites sub serverul web și selectați site-ul pe care doriți să îl configurați.

  5. În panoul Actions din partea dreaptă, faceți clic pe Bindings….

  6. Faceți clic pe Add… pentru a deschide editorul de legături. Setați tipul la https și numele de gazdă în funcție de înregistrarea DNS și de atributul Subject Alternative Name (SAN) al certificatului TLS. Activați caseta de selectare Disable TLS 1.3 over TCP. În câmpul Certificat SSL selectați certificatul respectiv. Confirmați configurația cu un clic pe OK.

    Sfat

    Pentru a înțelege cerința de a dezactiva TLS 1.3 și pentru instrucțiuni de configurare privind modul de utilizare cu TLS 1.3 activat, consultați această postare pe blogul Microsoft Support.

  7. Din panoul din mijloc, deschideți SSL Settings. Activați caseta de selectare Require SSL și butonul radio de sub Client certificates este setat la Require. Confirmați configurația cu un clic pe Apply în panoul Actions din dreapta.

  8. Din panoul din mijloc, deschideți Autentificare. Asigurați-vă că toate celelalte metode de autentificare sunt dezactivate pentru site. ** IIS Client Certificate Mapping Authentication** nu va fi niciodată vizibilă în această listă. Navigați înapoi la rădăcina site-ului.

    Important

    Dacă este activat orice alt tip de autentificare, maparea certificatului de client nu va funcționa.

  9. Din panoul din mijloc, deschideți Editor de configurare. Deschideți secțiunea system.webServer/security/authentication/iisClientCertificateMappingAuthentication de la ApplicationHost.config <location path='Default web site'/>. Setați cheia enabled la True și asigurați-vă că una sau ambele chei manyToOneCertificateMappingsEnabled și oneToOneCertificateMappingsEnabled sunt activate.

  10. Mapările utilizatorului trebuie să fie scrise la cheile manyToOneMappings sau oneToOneMappings. Cheia respectivă care trebuie utilizată depinde de maparea dorită a fi utilizată. Puteți găsi informații despre corespondență și explicații mai detaliate privind configurarea pe Microsoft Learn.

    Pentru a modifica o cheie, faceți clic pe butonul de la sfârșitul câmpului de text al valorii. Acest lucru va deschide Collection Editor. Pentru a crea o nouă corespondență, faceți clic pe Add în panoul Actions din dreapta.

    1. Cartografierea de la mulți la unu

      Completați câmpurile după cum se arată în tabelul de mai jos.

      Key

      Valoare

      enabled

      True

      name

      <name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      Câmpul name este utilizat ca identificator al colecției, iar câmpurile userName și password necesită numele de utilizator și parola utilizatorului local pe care doriți să îl asociați. Câmpul rules trebuie să conțină descrierea certificatelor permise sau refuzate. Pentru a modifica cheia regulilor, faceți clic pe butonul de la sfârșitul câmpului de text al valorii. Acest lucru va deschide o nouă fereastră a Collection Editor. Pentru a crea o nouă regulă, faceți clic pe Add în panoul Actions din dreapta.

      Completați câmpurile după cum se arată în tabelul de mai jos.

      Key

      Valoare

      certificateField

      Subject

      certificateSubField

      O

      compareCaseSensitive

      True

      matchCriteria

      <criteria-value-of-o-field-in-certificate-subject>

      Închideți ferestrele Collection Editor.

    2. Cartografiere unu la unu

      Completați câmpurile ca în tabelul de mai jos.

      Key

      Valoare

      certificate

      <base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Certificatul codificat Base64 pentru câmpul certificate poate fi obținut din Nitrokey cu Nitrokey și comanda nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Câmpurile userName și password necesită numele de utilizator și parola utilizatorului local pe care doriți să îl asociați.

      Închideți fereastra Collection Editor.

    Confirmați configurația cu un clic pe Apply în panoul Actions din dreapta.

Site-ul este acum configurat pentru autentificarea clientului TLS utilizând maparea contului de utilizator local.