Overovanie klienta TLS pomocou Internetovej informačnej služby (IIS) a služby Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Táto príručka opisuje konfiguráciu Internetovej informačnej služby (IIS) systému Windows pre overovanie TLS klientov, ktoré mapuje používateľov na účty služby Active Directory.

Ako príklad je uvedená konfigurácia s webovým sídlom Default Web Site služby IIS. Konfigurácia sa môže použiť aj pre iné webové lokality vrátane alebo bez predvolenej webovej lokality, ale konfigurácia podpory TLS sa týka celého servera.

Prerequisits

  • Úspešné nastavenie prihlásenia klienta s čipovou kartou nájdete v kapitole Prihlásenie klienta s Active Directory. Používatelia musia mať platný autentifikačný certifikát na Nitrokey.

  • Server Windows (webový server)

    • Pripojenie k doméne Active Directory.

    • Záznam DNS alebo názov hostiteľa musí byť možné pre klientov preložiť prostredníctvom DNS.

    • certifikát TLS pre záznam DNS. Klientské počítače musia tomuto certifikátu TLS dôverovať.

Inštalácia

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Postupujte podľa sprievodcu až ku kroku Serverové role.

  4. Zo zoznamu dostupných rolí vyberte rolu Web Server (IIS).

  5. Postupujte podľa sprievodcu až ku kroku Služby rolí v časti Rola webového servera (IIS).

  6. V zozname služieb rolí vyberte Web Server → Security → Client Certificate Mapping Authentication.

  7. Postupujte podľa sprievodcu inštaláciou. Pred začatím konfigurácie je potrebné dokončiť inštaláciu.

Konfigurácia

  1. Otvorte aplikáciu Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Vyberte a rozbaľte webový server, ktorý chcete nakonfigurovať, v stromovom zobrazení Connections vľavo.

  3. V strednom paneli otvorte stránku Authentication. Vyberte Active Directory Client Certificate Authentication a povoľte ho kliknutím na Enable v paneli Actions vpravo.

  4. Rozbaľte položku Sites v časti webového servera a vyberte lokalitu, ktorú chcete nakonfigurovať.

  5. V podokne Akcie vpravo kliknite na Väzby….

  6. Kliknite na Add…, čím sa zobrazí editor väzieb. Nastavte typ na https a názov hostiteľa podľa záznamu DNS a atribútu Subject Alternative Name (SAN) certifikátu TLS. Aktivujte zaškrtávacie políčko Disable TLS 1.3 over TCP. V poli SSL certifikát vyberte príslušný certifikát. Konfiguráciu potvrďte kliknutím na OK.

    Tip

    Ak chcete pochopiť požiadavku na vypnutie TLS 1.3 a získať konfiguračné pokyny, ako ju používať so zapnutým TLS 1.3, pozrite si tento príspevok na blogu Microsoft Support.

  7. V strednom paneli otvorte stránku SSL Settings. Aktivujte zaškrtávacie políčko Vyžadovať SSL a prepínač v časti Klientské certifikáty nastavte na Vyžadovať. Konfiguráciu potvrďte kliknutím na Apply v paneli Actions vpravo.

  8. V strednom paneli otvorte stránku Authentication. Uistite sa, že všetky ostatné metódy overovania sú pre lokalitu deaktivované. V tomto zozname sa nikdy nezobrazí Overenie certifikátu klienta služby Active Directory.

    Dôležité

    Ak je povolený akýkoľvek iný typ overovania, mapovanie klientskeho certifikátu nebude fungovať.

Web je teraz nakonfigurovaný na overovanie klienta TLS pomocou mapovania používateľských účtov Active Directory.