Overovanie klienta TLS pomocou Internetovej informačnej služby (IIS)

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Táto príručka opisuje konfiguráciu Internetovej informačnej služby (IIS) systému Windows pre overovanie klientov TLS, ktoré mapuje používateľov na miestne používateľské účty.

Ako príklad je uvedená konfigurácia s webovým sídlom Default Web Site služby IIS. Konfiguráciu možno použiť aj pre iné webové lokality vrátane alebo bez predvolenej webovej lokality.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • Server Windows (webový server)

    • DNS record

    • certifikát TLS pre záznam DNS. Klientské počítače musia tomuto certifikátu TLS dôverovať.

Inštalácia

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Postupujte podľa sprievodcu až ku kroku Serverové role.

  4. Zo zoznamu dostupných rolí vyberte rolu Web Server (IIS).

  5. Postupujte podľa sprievodcu až ku kroku Služby rolí v časti Rola webového servera (IIS).

  6. V zozname služieb rolí vyberte Webový server → Zabezpečenie → Mapovanie autentifikácie certifikátu klienta IIS.

  7. Postupujte podľa sprievodcu inštaláciou. Pred začatím konfigurácie je potrebné dokončiť inštaláciu.

Konfigurácia

  1. Otvorte aplikáciu Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Vyberte a rozbaľte webový server, ktorý chcete nakonfigurovať, v stromovom zobrazení Connections vľavo.

  3. V strednom paneli otvorte stránku Configuration Editor. Otvorte sekciu system.webServer/security/authentication/iisClientCertificateMappingAuthentication a odomknite ju kliknutím na Odomknúť sekciu v paneli Akcie vpravo.

  4. Rozbaľte položku Sites v časti webového servera a vyberte lokalitu, ktorú chcete nakonfigurovať.

  5. V podokne Akcie vpravo kliknite na Väzby….

  6. Kliknite na Add…, čím sa zobrazí editor väzieb. Nastavte typ na https a názov hostiteľa podľa záznamu DNS a atribútu Subject Alternative Name (SAN) certifikátu TLS. Aktivujte zaškrtávacie políčko Disable TLS 1.3 over TCP. V poli SSL certifikát vyberte príslušný certifikát. Konfiguráciu potvrďte kliknutím na OK.

    Tip

    Ak chcete pochopiť požiadavku na vypnutie TLS 1.3 a získať konfiguračné pokyny, ako ju používať so zapnutým TLS 1.3, pozrite si tento príspevok na blogu Microsoft Support.

  7. V strednom paneli otvorte stránku SSL Settings. Aktivujte zaškrtávacie políčko Vyžadovať SSL a prepínač v časti Klientské certifikáty nastavte na Vyžadovať. Konfiguráciu potvrďte kliknutím na Apply v paneli Actions vpravo.

  8. V strednom paneli otvorte stránku Authentication. Uistite sa, že všetky ostatné metódy overovania sú pre lokalitu deaktivované. V tomto zozname sa nikdy nezobrazí Mapovanie autentifikácie certifikátu klienta IIS. Prejdite späť do koreňového adresára lokality.

    Dôležité

    Ak je povolený akýkoľvek iný typ overovania, mapovanie klientskeho certifikátu nebude fungovať.

  9. V strednom paneli otvorte stránku Configuration Editor. Otvorte časť system.webServer/security/authentication/iisClientCertificateMappingAuthentication z ApplicationHost.config <location path='Default web site'/>. Nastavte kľúč enabled na True a uistite sa, že jeden alebo oba kľúče manyToOneCertificateMappingsEnabled a oneToOneCertificateMappingsEnabled sú povolené.

  10. Mapovanie používateľov musí byť zapísané do kľúčov manyToOneMappings alebo oneToOneMappings. Príslušný kľúč, ktorý sa má použiť, závisí od požadovaného mapovania, ktoré sa má použiť. Informácie o mapovaní a podrobnejšie vysvetlenia konfigurácie nájdete na Microsoft Learn.

    Ak chcete zmeniť kľúč, kliknite na tlačidlo na konci textového poľa hodnoty. Tým sa otvorí editor kolekcie ** . Pre vytvorenie nového mapovania kliknite na Pridať v paneli Akcie vpravo.

    1. Mapovanie z mnohých na jedného

      Vyplňte polia podľa nasledujúcej tabuľky.

      Key

      Hodnota

      enabled

      True

      name

      <name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      Pole name sa používa ako identifikátor kolekcie a polia userName a password vyžadujú používateľské meno a heslo lokálneho používateľa, na ktorého sa chcete mapovať. Pole rules musí obsahovať popis povolených alebo zamietnutých certifikátov. Ak chcete zmeniť kľúč pravidiel, kliknite na tlačidlo na konci textového poľa hodnoty. Tým sa otvorí nové okno editora kolekcie. Ak chcete vytvoriť nové pravidlo, kliknite na Pridať v paneli Akcie vpravo.

      Vyplňte polia podľa nasledujúcej tabuľky.

      Key

      Hodnota

      certificateField

      Subject

      certificateSubField

      O

      compareCaseSensitive

      True

      matchCriteria

      <criteria-value-of-o-field-in-certificate-subject>

      Zatvorte okná editora kolekcie ** .

    2. Mapovanie One to One

      Vyplňte polia podľa nasledujúcej tabuľky.

      Key

      Hodnota

      certificate

      <base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Certifikát v kóde Base64 pre pole certificate možno získať z Nitrokey pomocou Nitropy a príkazu nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Polia userName a password vyžadujú používateľské meno a heslo lokálneho používateľa, na ktorého sa majú mapovať.

      Zatvorte okno Editor kolekcie ** .

    Konfiguráciu potvrďte kliknutím na Apply na paneli Actions vpravo.

Web je teraz nakonfigurovaný na overovanie klienta TLS pomocou mapovania miestnych používateľských účtov.