TLS-klientautentisering med Windows Internet Information Services (IIS) och Active Directory

Compatible Nitrokeys

3A/C/Mini

Passkey

HSM 2

Pro 2

FIDO2

Storage 2

Start

U2F

active

inactive

inactive

inactive

inactive

inactive

inactive

inactive

Den här guiden beskriver konfigurationen av Windows Internet Information Services (IIS) för TLS-klientautentisering som mappar användare till Active Directory-konton.

Här visas konfigurationen som ett exempel med Standardwebbplats i IIS. Konfigurationen kan även användas för andra webbplatser, inklusive eller exklusive standardwebbplatsen, men konfigurationen av TLS-stöd gäller för hela servern.

Prerequisits

  • Lyckad inställning av smartkortsklientinloggning, se kapitel Klientinloggning med Active Directory. Användare måste ha ett giltigt autentiseringscertifikat på en Nitrokey.

  • Windows Server (webbserver)

    • Ansluten till en Active Directory-domän.

    • DNS-post eller värdnamn måste vara möjligt att lösa via DNS för klienterna.

    • TLS-certifikat för DNS-posten. Klientdatorerna måste lita på detta TLS-certifikat.

Installation

  1. Open the Server Manager.

  2. In the menubar on the top click Manage → Add Roles and Features.

  3. Följ guiden till steget Serverroller.

  4. Välj rollen Web Server (IIS) i listan över tillgängliga roller.

  5. Följ guiden till steget Roles Services under Web Server Role (IIS).

  6. I listan över rolltjänster väljer du Web Server → Säkerhet → Mappning av klientcertifikat Autentisering.

  7. Följ guiden till installationen. Installationen måste vara klar innan du kan börja konfigurera den.

Konfiguration

  1. Öppna Internet Information Services (IIS) Manager (InetMgr.exe).

  2. Välj och expandera den webbserver som du vill konfigurera i trädvyn Connections till vänster.

  3. Öppna Authentication i den mellersta rutan. Välj Active Directory Client Certificate Authentication och aktivera den genom att klicka på Enable i Actions i rutan till höger.

  4. Expandera Sites under webbservern och välj den webbplats som du vill konfigurera.

  5. I fönstret Åtgärder till höger klickar du på Bindningar….

  6. Klicka på Add… så att bindningsredigeraren visas. Ställ in typen till https och värdnamnet enligt DNS-posten och TLS-certifikatets Subject Alternative Name (SAN)-attribut. Aktivera kryssrutan Disable TLS 1.3 over TCP. I fältet SSL-certifikat väljer du det aktuella certifikatet. Bekräfta konfigurationen genom att klicka på OK.

    Tips

    För att förstå kravet på att inaktivera TLS 1.3 och för en konfigurationsinstruktion om hur du använder den med aktiverad TLS 1.3, se detta Microsoft Support blogginlägg.

  7. Öppna SSL Settings i mittenfönstret. Aktivera kryssrutan Require SSL och alternativknappen under Client certificates är inställd på Require. Bekräfta konfigurationen genom att klicka på Apply i fönstret Actions till höger.

  8. Öppna Authentication från mittfönstret. Kontrollera att alla andra autentiseringsmetoder är avaktiverade för webbplatsen. Authentication Active Directory Client Certificate kommer aldrig att synas i den här listan.

    Viktigt

    Om någon annan typ av autentisering är aktiverad kommer mappningen av klientcertifikat inte att fungera.

Webbplatsen är nu konfigurerad för TLS-klientautentisering med hjälp av mappning av Active Directory-användarkonton.