Preverjanje pristnosti odjemalcev TLS z Internetno informacijsko storitvijo (IIS) in imenikom Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Ta priročnik opisuje konfiguracijo Internetne informacijske storitve (IIS) sistema Windows za preverjanje pristnosti odjemalcev TLS, ki uporabnike preslika v račune storitve Active Directory.

Prikazana je konfiguracija kot primer s privzetim spletnim mestom Default Web Site storitve IIS. Konfiguracijo lahko uporabite tudi za druga spletna mesta, vključno s privzetim spletnim mestom ali brez njega, vendar je konfiguracija podpore TLS veljavna za celoten strežnik.

Prerequisits

  • Uspešna nastavitev prijave odjemalca s pametno kartico, glejte poglavje Prijava odjemalca z imenikom Active Directory. Uporabniki morajo imeti veljavno potrdilo za preverjanje pristnosti na ključu Nitrokey.

  • Strežnik Windows (spletni strežnik)

    • Pridružen domeni Active Directory.

    • Zapis DNS ali ime gostitelja mora biti mogoče razrešiti prek DNS za stranke.

    • potrdilo TLS za zapis DNS. Odjemalski računalniki morajo temu potrdilu TLS zaupati.

Namestitev

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Sledite čarovniku do koraka Vloge strežnika.

  4. S seznama razpoložljivih vlog izberite vlogo Web Server (IIS).

  5. Sledite čarovniku do koraka Vloge Storitve pod Vloga spletnega strežnika (IIS).

  6. Na seznamu storitev vlog izberite Web Server → Security → Client Certificate Mapping Authentication.

  7. Sledite čarovniku za namestitev. Namestitev mora biti končana, preden jo lahko začnete konfigurirati.

Konfiguracija

  1. Odprite upravitelja Internet Information Services (IIS) (InetMgr.exe).

  2. V drevesnem prikazu Connections na levi strani izberite in razširite spletni strežnik, ki ga želite konfigurirati.

  3. V srednjem podoknu odprite Preverjanje pristnosti. Izberite Active Directory Client Certificate Authentication in jo omogočite s klikom na Enable v podoknu Actions na desni strani.

  4. Pod spletnim strežnikom razširite Sites in izberite mesto, ki ga želite konfigurirati.

  5. V podoknu Akcije na desni strani kliknite Vezave….

  6. Kliknite Dodaj…, s čimer se prikaže urejevalnik vezi. Tip nastavite na https, ime gostitelja pa glede na zapis DNS in atribut Subject Alternative Name (SAN) potrdila TLS. Aktivirajte potrditveno polje Disable TLS 1.3 over TCP. V polju SSL certifikat izberite ustrezno potrdilo. Konfiguracijo potrdite s klikom na OK.

    Nasvet

    Če želite razumeti zahtevo za onemogočanje TLS 1.3 in navodila za konfiguracijo, kako ga uporabljati z omogočenim TLS 1.3, si oglejte to objavo na blogu Microsoft Support.

  7. V srednjem podoknu odprite SSL Settings. Aktivirajte potrditveno polje Zahtevaj SSL, radijski gumb pod Odjemalska potrdila pa nastavite na Zahtevaj. Konfiguracijo potrdite s klikom na Apply v podoknu Actions na desni strani.

  8. V srednjem podoknu odprite Preverjanje pristnosti. Prepričajte se, da so vsi drugi načini preverjanja pristnosti za spletno mesto deaktivirani. Na tem seznamu ne bo nikoli vidna Avtentikacija s potrdilom odjemalca aktivnega imenika.

    Pomembno

    Če je omogočena katera koli druga vrsta avtentikacije, preslikava potrdila odjemalca ne bo delovala.

Spletno mesto je zdaj konfigurirano za preverjanje pristnosti odjemalca TLS z uporabo preslikave uporabniških računov v imeniku Active Directory.