Autentificare client TLS cu Windows Internet Information Services (IIS) și Active Directory

Compatible Nitrokeys
3A/C/Mini	Passkey	HSM 2	Pro 2	FIDO2	Storage 2	Start	U2F
✓ active	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive	⨯ inactive

Acest ghid descrie configurarea Windows Internet Information Services (IIS) pentru autentificarea clienților TLS care asociază utilizatorii cu conturile Active Directory.

Acesta prezintă configurația ca un exemplu cu Default Web Site din IIS. Configurația poate fi utilizată și pentru alte site-uri, inclusiv sau excluzând site-ul implicit, însă configurarea suportului TLS este valabilă la nivelul întregului server.

Prerequisits

• Configurarea cu succes a conectării clientului cu card inteligent, consultați capitolul Conectarea clientului cu Active Directory. Utilizatorii trebuie să aibă un certificat de autentificare valid pe un Nitrokey.

• Server Windows (server web)

  • Conectat la un domeniu Active Directory.

  • Înregistrarea DNS sau numele de gazdă trebuie să poată fi rezolvate prin DNS pentru clienți.

  • Certificatul TLS pentru înregistrarea DNS. Calculatoarele client trebuie să aibă încredere în acest certificat TLS.

Instalare

1. Open the Server Manager.

2. In the menubar on the top click Manage → Add Roles and Features.

3. Urmați expertul până la pasul Server Roles.

4. Selectați rolul Web Server (IIS) din lista de roluri disponibile.

5. Urmați expertul până la pasul Roles Services sub Web Server Role (IIS).

6. Din lista de servicii de rol, selectați Web Server → Securitate → Mapare certificate client Autentificare.

7. Urmați expertul pentru instalare. Instalarea trebuie să fie finalizată înainte de a începe configurarea.

Configurație

1. Deschideți Internet Information Services (IIS) Manager (InetMgr.exe).

2. Selectați și extindeți serverul web pe care doriți să îl configurați în vizualizarea în arbore Connections din stânga.

3. Din panoul din mijloc, deschideți Authentication. Selectați Active Directory Client Certificate Authentication și activați-l cu un clic pe Enable în panoul Actions din dreapta.

4. Extindeți Sites sub serverul web și selectați site-ul pe care doriți să îl configurați.

5. În panoul Actions din partea dreaptă, faceți clic pe Bindings….

6. Faceți clic pe Add… pentru a deschide editorul de legături. Setați tipul la https și numele de gazdă în funcție de înregistrarea DNS și de atributul Subject Alternative Name (SAN) al certificatului TLS. Activați caseta de selectare Disable TLS 1.3 over TCP. În câmpul Certificat SSL selectați certificatul respectiv. Confirmați configurația cu un clic pe OK.

   Sfat

   Pentru a înțelege cerința de a dezactiva TLS 1.3 și pentru instrucțiuni de configurare privind modul de utilizare cu TLS 1.3 activat, consultați această postare pe blogul Microsoft Support.

7. Din panoul din mijloc, deschideți SSL Settings. Activați caseta de selectare Require SSL și butonul radio de sub Client certificates este setat la Require. Confirmați configurația cu un clic pe Apply în panoul Actions din dreapta.

8. Din panoul din mijloc, deschideți Autentificare. Asigurați-vă că toate celelalte metode de autentificare sunt dezactivate pentru site. * Active Directory Client Certificate Authentication* nu va fi niciodată vizibilă în această listă.

   Important

   Dacă este activat orice alt tip de autentificare, maparea certificatului de client nu va funcționa.

Site-ul este acum configurat pentru autentificarea clientului TLS utilizând maparea conturilor de utilizator Active Directory.