Numéro d'article: 313070 - Dernière mise à jour: mardi 21 novembre 2006 - Version: 2.2

Comment faire : configurer le mappage de certificat client dans Internet Information Services (IIS) 5.0

Affichage côte à côteCliquez ici si vous souhaitez afficher en côte à côte l?article anglais et sa traduction automatique en français
Traduction automatiqueATTENTION : Cet article est issu du système de traduction automatique
Retired KB ArticleExclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Voir les produits auxquels s'applique cet article
A noterCet article s'applique à un système d'exploitation différent de celui que vous utilisez. Le contenu de l'article qui ne vous concerne peut-être pas est désactivé.

Sommaire

Agrandir tout | Réduire tout

Résumé

Cet article étape par étape explique comment configurer les mappages de certificats client dans Internet Information Services (IIS) 5.0.

Retour au début

Mappage des certificats client sur les comptes d'utilisateurs

Dans IIS, vous pouvez authentifier les utilisateurs qui ouvrent une session avec un certificat client en mappant les certificats aux comptes d'utilisateur Windows. Les certificats mappés sont utilisés pour refuser l'accès à ressources Web soit accorder des droits et autorisations pour le compte d'utilisateur mappé. Il existe deux méthodes dans lequel mapper des certificats :
  • Mappage un-à-un

    Mappage un-à-un associe un certificat client unique à un seul compte d'utilisateur. Le serveur compare une copie de son certificat avec le certificat client qui est envoyé par le navigateur. Les certificats doivent être identiques pour le mappage continuer.
  • Plusieurs-à-un mappage

    Plusieurs-à-un mappage associe plusieurs certificats à un seul compte d'utilisateur. Il utilise des génériques règles de correspondance pour définir les critères de certificat pour le mappage. Ce type de mappage ne compare pas le certificat client réel, au lieu de cela, elle accepte tous les certificats clients répondant à des critères spécifiques. Si les certificats correspondent aux règles, ils sont associés au compte d'utilisateur approprié.
Retour au début

Mappage des services Windows 2000 Active Directory

Dans IIS, vous pouvez également mapper un certificat à un compte d'utilisateur Windows à l'aide de la fonctionnalité Microsoft Windows 2000 Active Directory répertoire service. Cette option est disponible uniquement au réplica-maître au niveau des propriétés et si le serveur est un membre d'un domaine Windows 2000.

Pour activer le mappeur de service d'annuaire Windows :
  1. Démarrez le Gestionnaire des services Internet, ou ouvrez la console MMC qui contient le composant logiciel enfichable Services Internet (IIS).
  2. Dans le volet de Services Internet (IIS) , cliquez avec le bouton droit sur * server nameserver name est le nom du serveur et puis cliquez sur Propriétés .
  3. Cliquez sur l'onglet Services Internet (IIS) .
  4. Sous Propriétés de la forme de base , cliquez sur le service Web , puis cliquez sur Modifier .
  5. Dans la propriétés principal de service Web de * server name propriétés boîte de dialogue, cliquez sur l'onglet Sécurité de répertoire .
  6. Sous protocole de communication , activez la case à cocher Activer le mappeur de service d'annuaire Windows , puis cliquez sur OK .
Pour plus d'informations sur le service Windows 2000 Active Directory mappage, cliquez sur Démarrer , cliquez sur Aide , cliquez sur l'onglet Index et tapez mappage de certificats .

Retour au début

Mappage one-to-One

Exporter un certificat

Dans la correspondance un-à-un des services Internet (IIS), certains certificats doivent tout d'abord être exportées. Pour exporter un certificat à utiliser dans la correspondance un-à-un des services Internet (IIS) :
  1. Démarrez Internet Explorer, puis cliquez sur Options Internet dans le menu Outils .
  2. Cliquez sur l'onglet contenu .
  3. Sous certificats , cliquez sur certificats , puis cliquez sur l'onglet personnel .
  4. Cliquez sur le certificat que vous voulez exporter, puis cliquez sur Exporter pour démarrer l'Assistant Exportation de certificat.
  5. Cliquez sur suivant .
  6. Cliquez sur Non, ne pas exporter la clé privée , puis cliquez sur suivant .
  7. Cliquez sur Base-64 codé X.509 (.cer) , puis cliquez sur suivant .
  8. Dans la zone Nom de fichier , cliquez sur Parcourir , spécifiez un nom et un emplacement dans lequel vous souhaitez enregistrer le fichier et puis cliquez sur Enregistrer .
  9. Cliquez sur suivant , puis cliquez sur Terminer .
  10. Cliquez sur OK dans le message « l'exportation a réussi », cliquez sur Fermer et puis cliquez sur OK . Le certificat est prêt pour un-à-un mappage dans IIS. Cette procédure doit être exécutées une fois pour chaque certificat.

Mapper un certificat client spécifique à un compte d'utilisateur

Pour mapper d'un certificat client spécifique sur un compte d'utilisateur :
  1. Démarrez le Gestionnaire des services Internet, ou ouvrez la console MMC qui contient le composant logiciel enfichable Services Internet (IIS).
  2. Cliquez avec le bouton droit sur le site Web pour lequel vous souhaitez configurer l'authentification (par exemple, le site Web par défaut ), puis cliquez sur Propriétés .
  3. Cliquez sur l'onglet Sécurité de répertoire , puis, sous protocole de communication , cliquez sur Modifier .
  4. Activez la case à cocher Activer mappage de certificat client , puis cliquez sur Modifier .
  5. Cliquez sur l'onglet 1-à-1 , puis cliquez sur Ajouter .
  6. Dans la zone Ouvrir , recherchez le fichier de certificat et puis cliquez sur Ouvrir .

    Remarque : Si vous ne pouvez pas localiser le fichier de certificat, vous devrez peut-être exporter le fichier.
  7. Dans la boîte de dialogue Mapper au compte , procédez comme suit :
    1. Dans la zone Nom de table , tapez un nom de carte.
    2. Dans la zone compte , tapez, ou cliquez sur Parcourir afin d'accéder au compte d'utilisateur Windows que vous voulez mapper. Tapez le mot de passe du compte utilisateur dans la zone mot de passe , puis cliquez sur OK .
    3. Retapez le mot de passe dans la boîte de dialogue Confirmer le mot de passe , puis cliquez sur OK .
  8. Répétez les étapes 5 à 7 pour mapper des autres certificats ou pour les mapper ce certificat à d'autres comptes d'utilisateur.
  9. Lorsque vous avez terminé de créer les mappages souhaité, cliquez sur OK trois fois et puis fermer Gestionnaire des services Internet ou fermez le composant logiciel enfichable Services Internet (IIS).
Retour au début

Plusieurs-à-un mappage

Mapper des certificats clients en utilisant des règles génériques

Pour ajouter un mappage de certificat client en utilisant des règles génériques :
  1. Démarrez le Gestionnaire des services Internet, ou ouvrez la console MMC qui contient le composant logiciel enfichable Services Internet (IIS).
  2. Cliquez avec le bouton droit sur le site Web pour lequel vous souhaitez configurer l'authentification (par exemple, le site Web par défaut ), puis cliquez sur Propriétés .
  3. Cliquez sur l'onglet Sécurité de répertoire , puis, sous protocole de communication , cliquez sur Modifier .
  4. Activez la case à cocher Activer mappage de certificat client , puis cliquez sur Modifier .
  5. Cliquez sur l'onglet plusieurs-à-1 , puis cliquez sur Ajouter .
  6. Dans la boîte de dialogue général , tapez un nom pour la règle et puis suivant .
  7. Dans la boîte de dialogue règles , cliquez sur Nouveau .
  8. Dans la boîte de dialogue Modifier un élément de règle qui s'affiche, configurez les paramètres de votre choix pour la règle, cliquez sur OK , puis cliquez sur suivant .

    Remarque : vous devez configurer vos règles de correspondance pour être aussi précis que possible. Utiliser des règles génériques qui correspondent aux informations de plusieurs champs différents et sub champs.
  9. Dans la boîte de dialogue mappage , effectuez l'une des opérations suivantes :
    • Cliquez sur Accepter ce certificat pour l'authentification d'ouverture de session et puis dans la zone compte , tapez, ou cliquez sur Parcourir afin d'accéder au compte d'utilisateur Windows que vous voulez mapper. Tapez le mot de passe du compte d'utilisateur dans la zone mot de passe .

      -ou-
    • Cliquez sur Refuser l'accès .
  10. Cliquez sur Terminer .
  11. Répétez les étapes 5 à 10 pour créer des autres règles de mappage.
  12. Pour établir la priorité des règles que vous avez défini, cliquez sur une règle dans la liste, puis cliquez sur Monter ou Descendre pour déplacer la règle supérieure ou inférieure de la liste. Règles qui sont supérieures dans la liste ont une priorité plus élevée.
  13. Cliquez sur OK à trois reprises, puis fermez le Gestionnaire des services Internet ou fermez le composant logiciel enfichable Services Internet (IIS).

Modifier la une règle générique existante

Pour modifier une règle génériques existante :
  1. Démarrez le Gestionnaire des services Internet, ou ouvrez la console MMC qui contient le composant logiciel enfichable Services Internet (IIS).
  2. Cliquez avec le bouton droit sur le site Web pour lequel vous souhaitez configurer l'authentification (par exemple, le site Web par défaut ), puis cliquez sur Propriétés .
  3. Cliquez sur l'onglet Sécurité de répertoire , puis cliquez sur Modifier sous communications sécurisées .
  4. Activez la case à cocher Activer mappage de certificat client , puis cliquez sur Modifier .
  5. Cliquez sur l'onglet plusieurs-à-1 , cliquez sur la règle que vous souhaitez modifier et puis cliquez sur Modifier la règle .
  6. Dans la boîte de dialogue règle de mappage de caractère générique modifier , apportez les modifications souhaitées, puis cliquez sur OK .
  7. Cliquez sur OK à quatre reprises, puis fermez le Gestionnaire des services Internet ou fermez le composant logiciel enfichable Services Internet (IIS).
Retour au début

Résolution des problèmes

Si vous utilisez des services Internet (IIS) pour mapper des certificats client aux comptes d'utilisateurs, vous ne pouvez pas également utiliser le service d'annuaire Windows pour configurer les mappages de certificats client. Vous pouvez uniquement utiliser une méthode ou l'autre.

Pour plus d'informations sur les rubriques connexes, cliquez sur le numéro ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
243353  (http://support.microsoft.com/kb/243353/EN-US/ ) Mappages de certificats personnalisé sont non reconnus



Retour au début

Références

Pour plus d'informations sur la mappage de certificat client dans IIS, consultez la rubrique « certificats » dans la section « sécurité » de la documentation IIS 5.0 en ligne. Pour afficher la documentation, démarrez Microsoft Internet Explorer, tapez http://localhost/iisHelp dans la barre d'adresses et puis appuyez sur ENTRÉE.

Pour une comparaison de mappage de certificat Services Internet (IIS) 5.0 et Windows 2000 Active Directory le mappage de certificat, cliquez sur l'article ci-dessous pour afficher l'article correspondant dans la Base de connaissances Microsoft :
216906  (http://support.microsoft.com/kb/216906/EN-US/ ) Comparaison de IIS 5.0 mappage de certificat et natif Windows 2000 Active Directory le certificat mappage






Retour au début
Les informations contenues dans cet article s'appliquent au(x) produit(s) suivant(s):
  • Microsoft Internet Information Services 5.0
Retour au début
Mots-clés : 
kbmt kbhowto kbhowtomaster kbnetwork KB313070 KbMtfr
Retour au début
Traduction automatiqueTraduction automatique
IMPORTANT : Cet article est issu du système de traduction automatique mis au point par Microsoft (http://support.microsoft.com/gp/mtdetails). Un certain nombre d?articles obtenus par traduction automatique sont en effet mis à votre disposition en complément des articles traduits en langue française par des traducteurs professionnels. Cela vous permet d?avoir accès, dans votre propre langue, à l?ensemble des articles de la base de connaissances rédigés originellement en langue anglaise. Les articles traduits automatiquement ne sont pas toujours parfaits et peuvent comporter des erreurs de vocabulaire, de syntaxe ou de grammaire (probablement semblables aux erreurs que ferait une personne étrangère s?exprimant dans votre langue !). Néanmoins, mis à part ces imperfections, ces articles devraient suffire à vous orienter et à vous aider à résoudre votre problème. Microsoft s?efforce aussi continuellement de faire évoluer son système de traduction automatique.
La version anglaise de cet article est la suivante: 313070  (http://support.microsoft.com/kb/313070/en-us/ )
Retour au début
L'INFORMATION CONTENUE DANS CE DOCUMENT EST FOURNIE PAR MICROSOFT SANS GARANTIE D'AUCUNE SORTE, EXPLICITE OU IMPLICITE. L'UTILISATEUR ASSUME LE RISQUE DE L'UTILISATION DU CONTENU DE CE DOCUMENT. CE DOCUMENT NE PEUT ETRE REVENDU OU CEDE EN ECHANGE D'UN QUELCONQUE PROFIT.
Retired KB ArticleExclusion de responsabilité concernant les contenus obsolètes dans la Base de connaissances
Cet article concerne des produits pour lesquels Microsoft n'offre plus de support. Il est par conséquent fourni « en l'état » et ne sera plus mis à jour.
Retour au début