Аутентификация клиента TLS с помощью Windows Internet Information Services (IIS) и Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

В этом руководстве описывается настройка Windows Internet Information Services (IIS) для аутентификации клиентов TLS, которая сопоставляет пользователей с учетными записями Active Directory.

В нем в качестве примера показана конфигурация для Default Web Site из IIS. Эту конфигурацию можно использовать и для других сайтов, включая или исключая сайт по умолчанию, но настройка поддержки TLS осуществляется в масштабах всего сервера.

Prerequisits

  • Успешная настройка входа в систему клиента со смарт-картой, см. главу Вход в систему клиента с помощью Active Directory. У пользователей должен быть действительный сертификат проверки подлинности на Nitrokey.

  • Windows Server (веб-сервер)

    • Подключен к домену Active Directory.

    • DNS-запись или имя хоста должны быть доступны для разрешения через DNS для клиентов.

    • Сертификат TLS для записи DNS. Клиентские компьютеры должны доверять этому сертификату TLS.

Установка

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Перейдите к шагу Роли сервера.

  4. Выберите роль Web Server (IIS) из списка доступных ролей.

  5. Перейдите к шагу Роли служб в разделе Роль веб-сервера (IIS).

  6. В списке служб ролей выберите Web Server → Security → Client Certificate Mapping Authentication.

  7. Следуйте указаниям мастера установки. Установка должна быть завершена, прежде чем вы сможете приступить к настройке.

Конфигурация

  1. Откройте Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Выберите и разверните веб-сервер, который нужно настроить, в древовидном представлении Connections слева.

  3. На средней панели откройте Authentication. Выберите Аутентификация сертификата клиента Active Directory и включите ее, нажав на Включить в панели Действия справа.

  4. Разверните страницу Sites под веб-сервером и выберите сайт, который необходимо настроить.

  5. В панели Actions справа нажмите Bindings….

  6. Нажмите Добавить…, что вызовет редактор привязок. Установите тип https и имя хоста в соответствии с DNS-записью и атрибутом Subject Alternative Name (SAN) сертификата TLS. Установите флажок Отключить TLS 1.3 по TCP. В поле SSL-сертификат выберите соответствующий сертификат. Подтвердите настройку нажатием кнопки OK.

    Совет

    Чтобы понять, как отключить TLS 1.3, и получить инструкции по настройке, как использовать его с включенным TLS 1.3, обратитесь к этому сообщению в блоге Microsoft Support.

  7. На средней панели откройте SSL Settings. Активируйте флажок Require SSL и установите радиокнопку в разделе Client certificates в положение Require. Подтвердите конфигурацию нажатием на Apply в панели Actions справа.

  8. На средней панели откройте Аутентификация. Убедитесь, что все остальные методы аутентификации отключены для сайта. В этом списке никогда не будет отображаться Аутентификация сертификата клиента Active Directory.

    Важно

    Если включен любой другой тип аутентификации, сопоставление клиентских сертификатов не будет работать.

Теперь сайт настроен на аутентификацию клиента TLS с помощью сопоставления учетных записей пользователей Active Directory.