Как да настроите удостоверяване със сертификат в гори без доверие за уеб сървър

Support Topic:

  • Windows Servers\Windows Server 2016\Windows Server 2016\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Datacenter\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Essentials\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Standard\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2019, all versions\Certificates and Public Key Infrastructure\Certificate-based authentication

Обобщена информация

Тази статия се описва как да настроите уеб сървър да използвате смарт карти за няколко гори сертификат за удостоверяване, когато потребител гори и ресурси гора доверие помежду си.

Конфигурация

Да разгледаме среда, която използва следните конфигурации:

  • Потребител, който е наречен Contoso.com гора

  • Ресурс, който се нарича Fabrikam.com гора. Гората е Tailspin.com добавя като друг потребител основно име (UPN).

  • Няма няма доверие между две гори.

  • Потребителски карти използват сертификати тема Алтернативно име (SAN) записите на user@tailspin.com формат

  • IIS уеб сървър, който е конфигуриран за Active Directory сертификат за удостоверяване на базата на.

Конфигуриране на Active Directory и уеб сървър, както е описано в следващите процедури.

Конфигуриране на Active Directory

За да конфигурирате гора ресурс за удостоверяване на смарт карти:

  1. Уверете се, че е издаден сертификат за удостоверяване Kerberos, който има KDC удостоверяване разширена употреба на ключ (ТЕОДОР) на домейн контролери.

  2. Уверете се, че издава удостоверение на потребителя сертификат е инсталиран в магазина на NTAUTH предприятие. За да публикувате издаване удостоверение в домейна, изпълнете следната команда в командния ред: certutil -dspublish -f <filename> NTAUTHCA

    Забележка

    В тази команда < име на файл > представлява името на файла CA сертификат, който има разширение .cer.

  3. Потребителите трябва да имат акаунти, които използват алтернативен UPN ресурс гора. Потребителски свойства

За да конфигурирате потребителски гора, изпълнете следните стъпки:

  1. Уверете се, че имате влизане със смарт карта и клиента удостоверяване ТЕОДОР дефинирано в сертификата.

  2. Уверете се, че Сан на сертификата използва UPN на потребителя. Сан на сертификат

  3. Уверете се, че да инсталирате удостоверение издаване на сертификат на потребител в магазина на NTAUTH предприятие.

Забележка

Ако искате да зададете делегиране на клиентски сървър или искате да пропуснете използвате UPN в Сан атрибут на сертификат (AltSecID път), вижте раздела "повече информация".

Конфигуриране на уеб сървър

За да конфигурирате IIS уеб сървър в гората ресурси:

  1. Инсталирате ролята на IIS уеб сървър и изберете Клиентски сертификат нанасяне удостоверяване защитна функция. Избор на сървърни роли

  2. IIS уеб сървър разрешете Active Directory клиентски сертификат удостоверяване. Конфигуриране на IIS

  3. На вашия сайт конфигуриране на SSLНастройки да Изисква SSL и под клиентски сертификати, изберете изискват. SSL настройки

Забележка

Уверете се, че няма друг тип удостоверяване е разрешено на сайта. Не е препоръчително да разрешите удостоверяване на базата на сертификат с друг тип удостоверяване, защото DS Mapper услугата, която отговаря за нанасяне на потребителя представени сертификат за потребителския акаунт в Active Directory, е проектирана да работи само с тип на Active Directory клиентски сертификат удостоверяване . Ако разрешите анонимно удостоверяване, възникват неочаквани резултати.   Други типове удостоверяване

Допълнителна информация

Ако искате да зададете делегиране на този ресурс уеб сървър за търсене на сървъра, като сървър на база данни или сертифициращ орган, можете да конфигурирате също делегиране, ограничена с услугата за потребителски акаунт. Освен това трябва да настроите уеб сървър за делегиране, ограничена (S4U2Self) или протокол преход. За повече информация вижте KB4494313, как да конфигурирате ограничени делегиране Kerberos (S4U2Proxy или "Kerberos само") на потребителски сервизен акаунт за записване на уеб страници, прокси.

Ако искате да пропуснете UPN в Сан атрибут на потребителя сертификат на смарт карта, трябва да изрично карта чрез AltSecID атрибути, или използвайте име съвети.

Забележка

Не препоръчваме този подход за конфигуриране на сертификати за смарт карти.

 

Ако публикувате Сан атрибут като предназначени UPN в сертификата на потребителя, не трябва да активирате AltSecID.

За да проверите NTAuth хранилище на уеб сървъра, отворете команден прозорец и изпълнете следната команда:

Certutil -viewstore -enterprise NTAUTH

Препратки

Подготовка за навигационна домейн за синхронизиране на указатели

Как да импортирате CA сертификати на трети лица

Пълен списък на промените, за да активирате клиентски сертификат съпоставяне на IIS, с помощта на Active Directory

Смарт карта за влизане в работата на Windows

Потребителски атрибути за сигурност

HowTo: Карта потребител на сертификат през всички налични в атрибута altSecurityIdentities методи

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×