Preverjanje pristnosti odjemalca TLS v Internetni informacijski storitvi (IIS)

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Ta priročnik opisuje konfiguracijo Internetne informacijske storitve (IIS) sistema Windows za preverjanje pristnosti odjemalcev TLS, ki uporabnike preslika v lokalne uporabniške račune.

Prikazana je konfiguracija kot primer s privzetim spletnim mestom Default Web Site storitve IIS. Konfiguracijo lahko uporabite tudi za druga spletna mesta, vključno s privzetim spletnim mestom ali brez njega.

Prerequisits

  • Nitrokey 3 with PIV client authentication certificate.

  • Strežnik Windows (spletni strežnik)

    • DNS record

    • potrdilo TLS za zapis DNS. Odjemalski računalniki morajo temu potrdilu TLS zaupati.

Namestitev

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Sledite čarovniku do koraka Vloge strežnika.

  4. S seznama razpoložljivih vlog izberite vlogo Web Server (IIS).

  5. Sledite čarovniku do koraka Vloge Storitve pod Vloga spletnega strežnika (IIS).

  6. Na seznamu storitev vlog izberite Spletni strežnik → Varnost → IIS Client Certificate Mapping Authentication.

  7. Sledite čarovniku za namestitev. Namestitev mora biti končana, preden jo lahko začnete konfigurirati.

Konfiguracija

  1. Odprite upravitelja Internet Information Services (IIS) (InetMgr.exe).

  2. V drevesnem prikazu Connections na levi strani izberite in razširite spletni strežnik, ki ga želite konfigurirati.

  3. V srednjem podoknu odprite Configuration Editor. Odprite razdelek system.webServer/security/authentication/iisClientCertificateMappingAuthentication in ga odklenite s klikom na Unlock Section v podoknu Actions na desni strani.

  4. Pod spletnim strežnikom razširite Sites in izberite mesto, ki ga želite konfigurirati.

  5. V podoknu Akcije na desni strani kliknite Vezave….

  6. Kliknite Dodaj…, s čimer se prikaže urejevalnik vezi. Tip nastavite na https, ime gostitelja pa glede na zapis DNS in atribut Subject Alternative Name (SAN) potrdila TLS. Aktivirajte potrditveno polje Disable TLS 1.3 over TCP. V polju SSL certifikat izberite ustrezno potrdilo. Konfiguracijo potrdite s klikom na OK.

    Nasvet

    Če želite razumeti zahtevo za onemogočanje TLS 1.3 in navodila za konfiguracijo, kako ga uporabljati z omogočenim TLS 1.3, si oglejte to objavo na blogu Microsoft Support.

  7. V srednjem podoknu odprite SSL Settings. Aktivirajte potrditveno polje Zahtevaj SSL, radijski gumb pod Odjemalska potrdila pa nastavite na Zahtevaj. Konfiguracijo potrdite s klikom na Apply v podoknu Actions na desni strani.

  8. V srednjem podoknu odprite Preverjanje pristnosti. Prepričajte se, da so vsi drugi načini preverjanja pristnosti za spletno mesto deaktivirani. Na tem seznamu ne bo nikoli viden IIS Client Certificate Mapping Authentication. Pojdite nazaj v koren spletnega mesta.

    Pomembno

    Če je omogočena katera koli druga vrsta avtentikacije, mapiranje potrdila odjemalca ne bo delovalo.

  9. V srednjem podoknu odprite Configuration Editor. Odprite razdelek system.webServer/security/authentication/iisClientCertificateMappingAuthentication od ApplicationHost.config <location path='Default web site'/>. Ključ enabled nastavite na True in se prepričajte, da je ena ali obe ključi manyToOneCertificateMappingsEnabled in oneToOneCertificateMappingsEnabled omogočena.

  10. Uporabniške preslikave je treba zapisati v ključe manyToOneMappings ali oneToOneMappings. Ustrezni ključ, ki ga je treba uporabiti, je odvisen od želenega preslikavanja, ki ga je treba uporabiti. Informacije o preslikavah in podrobnejša pojasnila o konfiguraciji najdete na Microsoft Learn.

    Če želite spremeniti ključ, kliknite gumb na koncu besedilnega polja vrednosti. S tem se odpre urejevalnik zbirke ** . Za ustvarjanje novega kartiranja kliknite Dodaj v podoknu Akcije na desni strani.

    1. Kartiranje od mnogih k enemu

      Izpolnite polja, kot je prikazano v spodnji tabeli.

      Key

      Vrednost

      enabled

      True

      name

      <name-for-the-collection>

      password

      <user-password>

      permissionMode

      Allow

      userName

      <username>

      Polje name se uporablja kot identifikator zbirke, polji userName in password pa zahtevata uporabniško ime in geslo lokalnega uporabnika, ki ga želite preslikati. Polje rules mora vsebovati opis dovoljenih ali zavrnjenih potrdil. Če želite spremeniti ključ pravil, kliknite gumb na koncu besedilnega polja z vrednostjo. To bo odprlo novo okno urejevalnika zbirke. Za ustvarjanje novega pravila kliknite na Dodaj v podoknu Akcije na desni strani.

      Izpolnite polja, kot je prikazano v spodnji tabeli.

      Key

      Vrednost

      certificateField

      Subject

      certificateSubField

      O

      compareCaseSensitive

      True

      matchCriteria

      <criteria-value-of-o-field-in-certificate-subject>

      Zaprite okna urejevalnika zbirke ** .

    2. Mapiranje ena na ena

      Izpolnite polja, kot je prikazano v spodnji tabeli.

      Key

      Vrednost

      certificate

      <base64-encoded-certificate>

      enabled

      True

      password

      <user-password>

      userName

      <username>

      Potrdilo v kodi Base64 za polje certificate lahko pridobite iz Nitrokeyja z ukazom Nitropija in ukazom nitropy nk3 piv --experimental read-certificate --format PEM --key 9A. Za polji userName in password sta potrebna uporabniško ime in geslo lokalnega uporabnika, ki ga želite preslikati.

      Zaprite okno Collection Editor.

    Konfiguracijo potrdite s klikom na Apply v podoknu Actions na desni strani.

Spletno mesto je zdaj konfigurirano za preverjanje pristnosti odjemalcev TLS z uporabo lokalnega preslikavanja uporabniških računov.