Hur du ställer in certifikatbaserad autentisering över skogar utan förtroende för en webbserver

Support Topic:

  • Windows Servers\Windows Server 2016\Windows Server 2016\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Datacenter\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Essentials\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2016\Windows Server 2016 Standard\Certificates and Public Key Infrastructure\Certificate-based authentication

  • Windows Servers\Windows Server 2019, all versions\Certificates and Public Key Infrastructure\Certificate-based authentication

Sammanfattning

Den här artikeln beskrivs hur du ställer in en webbserver att använda smartkort för mellan skogar certifikatbaserad autentisering när användaren skogar och resursskogen inte litar på varandra.

Konfiguration

Tänk en miljö som använder följande konfiguration:

  • En skog för användare med namnet Contoso.com

  • En resursskog som heter hjälp. Skogen har Tailspin.com lagts till som ett alternativt UPN namn (User Principal Name).

  • Det finns inget förtroende mellan två skogar.

  • Smartkort för användare som använder certifikat som har transaktioner ämne alternativa namn (SAN) i formatet user@tailspin.com

  • En IIS-webbserver som är konfigurerad för Active Directory certifikat-baserad autentisering.

Konfigurera Active Directory och webbservern som beskrivs i följande procedurer.

Konfigurera Active Directory

Så här konfigurerar du resursskogen för autentisering med smartkort:

  1. Kontrollera att ett certifikat för Kerberos-autentisering som har en KDC-autentisering utökad nyckelanvändning (EKU) har utfärdats till domänkontrollanter.

  2. Kontrollera att certifikatet utfärdas av användarens certifikat installerat i Enterprise NTAUTH-arkivet. Publicera det utfärdande certifikatutfärdarcertifikatet i domänen genom att köra följande kommando vid en kommandotolk: certutil -dspublish -f <filename> NTAUTHCA

    Obs!

    I det här kommandot < filnamn > representerar namnet på Certifikatutfärdarens certifikatfil som har filnamnstillägget .cer.

  3. Användare måste ha konton som använder alternativa UPN i resursskogen. Egenskaper för användare

Så här konfigurerar du skogen användare:

  1. Kontrollera att du har en inloggning med smartkort och Client Authentication EKU anges i certifikatet.

  2. Kontrollera att SAN certifikatet används UPN för användaren. SAN på certifikatet

  3. Kontrollera att du installerar Certifikatutfärdarens certifikat utfärdas av användarcertifikatet i Enterprise NTAUTH-arkivet.

Obs!

Om du vill ställa in delegering på frontend-server eller vill hoppa över med hjälp av UPN i SAN-attribut för certifikat (AltSecID väg) finns i avsnittet Mer information.

Konfigurera webbservern

Konfigurera IIS-webbservern i resursskogen:

  1. Installera IIS Web serverroll och välj klienten certifikatet mappning autentisering säkerhetsfunktionen. Välj serverroller

  2. Aktivera Active Directory-klientcertifikatautentiseringpå IIS-webbservern. IIS-konfigurationen

  3. Konfigurera SSL - Inställningar för att Kräva SSL på din webbplats och klicka sedan under klientcertifikatkrävs. SSL-inställningar

Obs!

Kontrollera att inga andra typer av autentisering är aktiverad för webbplatsen. Vi rekommenderar inte att aktivera certifikat-baserad autentisering med någon annan autentiseringstyp eftersom DS-Mapper-tjänsten, som är ansvarig för matchning av användarcertifikat som inges till användarkonton i Active Directory, är utformad för att endast fungera med Active Directory-klientcertifikatautentisering typ. Om du aktiverar anonym autentisering kan uppstå det oväntade resultat.   Andra typer av autentisering

Mer information

Du kan även konfigurera begränsad delegering med hjälp av en anpassad service-konto om du vill ställa in delegering på webbservern resurs fråga en backend-server som en databasserver eller en Certifikatutfärdare. Dessutom måste du konfigurera webbservern för begränsad delegering (S4U2Self) eller protokollet övergång. Mer information finns i KB4494313, hur du konfigurerar Kerberos-begränsad delegering (S4U2Proxy eller endast Kerberos) på en anpassad tjänstkonto för webbregistrering proxy sidor.

Om du vill hoppa över UPN i SAN-attribut för användarcertifikat för smartkort har antingen uttryckligen mappa med AltSecID attributeller använda namnet tips.

Obs!

Vi rekommenderar inte den här metoden att konfigurera smartkortscertifikat.

 

Om du publicerar SAN-attribut som avsedda UPN i användarens certifikat, bör du inte aktivera AltSecID.

Om du vill kontrollera i NTAuth-arkivet på webbservern, öppna Kommandotolken och kör du följande kommando:

Certutil -viewstore -enterprise NTAUTH

Referenser

Förbereda ett icke-dirigerbart domän för katalogsynkronisering

Hur du importerar certifikat från tredje part

Fullständig lista över ändringar för att aktivera mappning av klientcertifikat i IIS med hjälp av Active Directory

Hur smartkort-inloggning fungerar i Windows

Säkerhetsattribut för användare

Ta: Mappa en användare till ett certifikat via alla metoder i attributet altSecurityIdentities

Behöver du mer hjälp?

Utöka dina kunskaper
Utforska utbildning
Få nya funktioner först
Anslut till Microsoft Insiders

Hade du nytta av den här informationen?

Tack för din feedback!

Tack för din feedback! Det låter som att det kan vara bra att koppla dig till en av våra Office-supportrepresentanter.

×