使用 Windows Internet 信息服务(IIS)和 Active Directory 进行 TLS 客户身份验证¶
Compatible Nitrokeys |
|||||||
|---|---|---|---|---|---|---|---|
✓ active |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
⨯ inactive |
本指南介绍 Windows Internet 信息服务 (IIS) 对 TLS 客户端身份验证的配置,可将用户映射到 Active Directory 帐户。
它以 IIS 的*默认网站* 为例显示了配置。该配置也可用于其他网站,包括或不包括默认网站,但 TLS 支持的配置是全服务器的。
Prerequisits¶
成功设置智能卡客户端登录,请参阅`使用 Active Directory<client_logon_with_active_directory.html>`__ 章节。用户必须在硝基上拥有有效的身份验证证书。
视窗服务器(网络服务器)
已加入 Active Directory 域。
DNS 记录或主机名必须可以通过 DNS 为客户端解析。
DNS 记录的 TLS 证书。客户端计算机必须信任该 TLS 证书。
安装¶
Open the Server Manager.
In the menubar on the top click Manage → Add Roles and Features.
按照向导步骤**服务器角色** 。
从可用角色列表中选择角色**Web Server (IIS)** 。
按照向导进入**Web Server Role (IIS)** 下的**Roles Services** 步骤。
从角色服务列表中选择**Web 服务器 → 安全 → 客户证书映射身份验证** 。
按照向导进行安装。必须在安装完成后才能开始配置。
配置¶
打开*Internet Information Services (IIS) Manager* (
InetMgr.exe)。在左侧的**Connections** 树状视图中选择并展开要配置的网络服务器。
从中间窗格打开**身份验证** 。选择**Active Directory 客户证书身份验证** ,并在右侧的**操作** 窗格中单击**启用** 。
展开网络服务器下的**站点** ,选择要配置的站点。
在**操作** 右侧窗格中单击**绑定...** 。
单击**Add...** ,弹出绑定编辑器。将类型设为**https** ,并根据 DNS 记录和 TLS 证书的主题替代名称 (SAN) 属性设置主机名。激活复选框**Disable TLS 1.3 over TCP** 。在**SSL 证书** 字段中选择相应证书。点击**OK** 确认配置。
小技巧
要了解禁用 TLS 1.3 的要求以及如何在启用 TLS 1.3 后使用它的配置说明,请参阅`Microsoft 支持博文<https://techcommunity.microsoft.com/blog/iis-support-blog/windows-server-2022-iis-web-site-tls-1-3-does-not-work-with-client-certificate-a/4129738>`__。
从中间窗格打开**SSL 设置** 。激活**Require SSL** 复选框,并将**Client certificates** 下的单选按钮设置为**Require** 。单击右侧**操作** 窗格中的**应用** 确认配置。
从中间窗格打开**Authentication** 。确保停用网站的所有其他身份验证方法。Active Directory 客户证书身份验证 将永远不会在此列表中显示。
重要
如果启用了任何其他类型的身份验证,客户端证书映射将不起作用。
现在,网站已配置为使用 Active Directory 用户账户映射进行 TLS 客户端身份验证。