Einrichten der Smartcard-Authentifizierung für Web Studio

Dieser Artikel beschreibt die Schritte, die zum Einrichten und Aktivieren der Smartcard-Authentifizierung für Web Studio erforderlich sind:

Schritt 1: Installieren des Smartcard-Treibers

Schritt 2: Ausstellen von Zertifikaten für Smartcard-Benutzer

Schritt 3: Registrieren von Zertifikaten für Smartcard-Benutzer

Schritt 4: Konfigurieren der Web Studio IIS-Server

Schritt 5 (Optional): Konfigurieren von Authentifizierungsdelegierungen für Web Studio

Schritt 6: Aktivieren der Smartcard-Authentifizierung für Web Studio

Hinweis:

Die Smartcard-Authentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne wie die Web Studio-Server unterstützt.

Schritt 1: Installieren des Smartcard-Treibers

Installieren Sie den Smartcard-Treiber auf den folgenden Computern:

• Domänencontroller, auf denen der Zertifikatdienst installiert ist.
• Web Studio-Server
• Computer, die Endbenutzer für den Zugriff auf Web Studio verwenden
• Computer, die Sie zum Registrieren von Zertifikaten für Smartcard-Benutzer verwenden

Smartcard-Treiber variieren je nach Anbieter. Wenn Sie beispielsweise Smartcard-Hardware von ITS verwenden, laden Sie die SaftNet-Treiber von https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers herunter.

Schritt 2: Ausstellen von Zertifikaten für Smartcard-Benutzer

Hinweis:

Die folgenden Schritte dienen als Beispiel, um Sie durch den Prozess zu führen.

Führen Sie auf Ihrem Domänencontroller die folgenden Schritte aus, um die Aufgabe abzuschließen:

1. Greifen Sie auf Ihren Domänencontroller zu und öffnen Sie die Zertifizierungsstelle.

   

2. Duplizieren Sie die Vorlage Registrierungs-Agent. Die detaillierten Schritte sind wie folgt:

   1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten.

      

   2. Klicken Sie mit der rechten Maustaste auf Registrierungs-Agent und wählen Sie Vorlage duplizieren.

   3. Stellen Sie auf der Registerkarte Antragstellername sicher, dass E-Mail in Antragstellername aufnehmen deaktiviert ist.

      

   4. Wählen Sie auf der Registerkarte Kryptografie die Option Microsoft Base Smart Card Crypto Provider aus und klicken Sie dann auf OK. Eine Vorlage mit dem Namen Kopie von Registrierungs-Agent wird in der Liste Zertifikatvorlagen angezeigt.

      

3. Stellen Sie Zertifikate für Smartcards aus. Die detaillierten Schritte sind wie folgt:
   1. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie dann Neu > Auszustellende Vorlage.
   2. Wählen Sie Kopie von Registrierungs-Agent und Smartcard-Benutzer aus.
   3. Klicken Sie auf OK.

Schritt 3: Registrieren von Zertifikaten für Smartcard-Benutzer

Hinweis:

Die folgenden Schritte dienen als Beispiel, um Sie durch den Prozess zu führen.

Führen Sie auf einem in die Domäne eingebundenen physischen Windows-Computer die folgenden Schritte aus, um Zertifikate für jede Smartcard zu registrieren:

1. Bereiten Sie einen in die Domäne eingebundenen physischen Windows-Computer für die Registrierung vor:
   1. Stellen Sie sicher, dass der Smartcard-Treiber installiert ist.
   2. Stecken Sie eine Smartcard in den Computer ein.
   3. Melden Sie sich mit dem Benutzerkonto am Computer an, das Sie der Smartcard zuweisen möchten.
2. Fügen Sie das Snap-In Zertifikate auf dem in Schritt 1 vorbereiteten Computer hinzu. Die detaillierten Schritte sind wie folgt:
   1. Öffnen Sie mmc.
   2. Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.
   3. Wählen Sie im angezeigten Fenster Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus und klicken Sie dann auf Hinzufügen >.
   4. Wählen Sie im angezeigten Dialogfeld Mein Benutzerkonto aus und klicken Sie auf Fertig stellen.

   5. Klicken Sie auf OK.

      

3. Fordern Sie neue Zertifikate für das Snap-In Zertifikate an. Die detaillierten Schritte sind wie folgt:

   1. Gehen Sie zu Zertifikate – Aktueller Benutzer > Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie dann Alle Aufgaben > Neues Zertifikat anfordern.

      

   2. Wählen Sie im angezeigten Dialogfeld Zertifikate anfordern die Optionen Kopie von Registrierungs-Agent und Smartcard-Benutzer aus.

      

   3. Klicken Sie im obigen Dialogfeld auf Details für Smartcard-Benutzer und dann auf Eigenschaften. Das Dialogfeld Zertifikateigenschaften wird angezeigt.

      

   4. Erweitern Sie auf der Registerkarte Privater Schlüssel den Kryptografiedienstanbieter, deaktivieren Sie Microsoft Strong Cryptographic Provider (Verschlüsselung), wählen Sie nur Microsoft Base Smart Card Crypto Provider (Verschlüsselung) aus und klicken Sie dann auf OK.
   5. Klicken Sie auf Registrieren.

   6. Geben Sie im angezeigten Dialogfeld Windows-Sicherheit den Smartcard-PIN-Code ein und klicken Sie auf OK. Wenn die Registrierung abgeschlossen ist, klicken Sie auf Fertig stellen.

      

Nach erfolgreicher Registrierung werden zwei Zertifikate unter Zertifikate – Aktueller Benutzer -> Persönlich -> Zertifikate angezeigt, wie im folgenden Screenshot dargestellt.

Schritt 4: Konfigurieren der Web Studio IIS-Server

Führen Sie auf jedem Web Studio-Server die folgenden Schritte aus, um IIS für die Smartcard-Authentifizierung zu konfigurieren:

1. Aktivieren Sie die Clientzertifikat-Zuordnungsauthentifizierung für den Web Studio-Computer.

   Das Element <clientCertificateMappingAuthentication> ist in der Standardinstallation von IIS 7 und höher nicht verfügbar. Weitere Informationen zur Installation und Aktivierung finden Sie in diesem Microsoft-Artikel.

2. Starten Sie den IIS-Manager auf dem Web Studio-Computer.

3. Aktivieren Sie die Active Directory-Clientzertifikatauthentifizierung für den Computer. Die detaillierten Schritte sind wie folgt:

   1. Wählen Sie den Computer im linken Bereich aus und doppelklicken Sie auf Authentifizierung.

1. Aktivieren Sie die Active Directory-Clientzertifikatsauthentifizierung.

   

2. Konfigurieren Sie das Web Studio-Backend-Modul für ein sichereres HTTPS-Protokoll mit Clientzertifikatsauthentifizierung:

   1. Navigieren Sie zu Sites > dem IIS-Websitennamen, auf dem Web Studio installiert ist (Site-ID = 1, standardmäßig "Default Web Site") > Studio > Backend > Smartcard, und doppelklicken Sie dann im Abschnitt IIS auf SSL-Einstellungen.

      

   2. Wählen Sie unter Clientzertifikate die Option Erforderlich aus.

      

   3. Kehren Sie zu Sites > dem IIS-Websitennamen, auf dem Web Studio installiert ist (Site-ID = 1, standardmäßig "Default Web Site") > Studio > Backend > Smartcard zurück, und doppelklicken Sie dann im Abschnitt IIS auf Konfigurations-Editor.

      

   4. Stellen Sie sicher, dass /clientCertificateMappingAuthentication aktiviert ist.

      

3. (Nur Windows 2022) Deaktivieren Sie TLS 3.1 über TCP. Die detaillierten Schritte sind wie folgt:

   1. Navigieren Sie zu Sites > dem IIS-Websitennamen, auf dem Web Studio installiert ist (Site-ID = 1, standardmäßig "Default Web Site").
   2. Klicken Sie auf Website bearbeiten > Bindung.

   3. Wählen Sie im angezeigten Dialogfeld Sitebindungen den https-Eintrag aus, und klicken Sie dann auf Bearbeiten.

      

   4. Wählen Sie im angezeigten Dialogfeld Websitebindung bearbeiten die Option TLS 1.3 über TCP deaktivieren aus, und klicken Sie dann auf OK.

      

Gut zu wissen:

Das Web Studio-Backend ist ein Modul in Web Studio, das die folgenden Funktionen bereitstellt:

• Smartcard-Authentifizierung.
• Abruf von FMA-Bearer-Tokens vom Orchestrierungsdienst unter Verwendung der integrierten Windows-Authentifizierung.

Schritt 5 (Optional) Konfigurieren der Authentifizierungsdelegierungen für Web Studio

Wenn Web Studio und Delivery Controller auf verschiedenen Servern installiert sind, müssen Sie Delegierungen für jeden Web Studio-Server an die Delivery Controller für HOST- und HTTPS-Dienste konfigurieren.

Führen Sie die folgenden Schritte aus, um die Aufgabe für jeden Web Studio-Server abzuschließen:

1. Importieren des Delivery Controller™ Orchestration HTTPS-Zertifikats
2. Konfigurieren der Delegierung für den Web Studio-Server
3. (Optional) Konfigurieren der Delegierung für das Dienstkonto des Web Studio IIS-Servers

Importieren des Delivery Controller Orchestration HTTPS-Zertifikats

Importieren Sie auf dem Web Studio-Server das Delivery Controller Orchestration HTTPS-Zertifikat in die Vertrauenswürdigen Stammzertifizierungsstellen. Die detaillierten Schritte sind wie folgt:

1. Starten Sie Einstellungen > Computerzertifikate verwalten.

2. Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate und wählen Sie Alle Aufgaben > Importieren.

   

3. Befolgen Sie die Anweisungen auf dem Bildschirm, um das Delivery Controller Orchestration HTTPS-Zertifikat zu importieren.

Konfigurieren der Delegierung für den Web Studio-Server

Konfigurieren Sie auf dem Domänencontroller die Delegierung für den Web Studio-Server an den Delivery Controller für HOST- und HTTP-Dienste. Führen Sie die folgenden Schritte aus, um die Aufgabe abzuschließen:

1. Starten Sie auf dem Domänencontroller das Active Directory-Verwaltungscenter.
2. Suchen Sie das Computerkonto des Web Studio-Servers, für den Sie die Delegierung konfigurieren möchten (z. B. Dan002).

3. Klicken Sie mit der rechten Maustaste auf das Konto, wählen Sie Eigenschaften aus, und führen Sie dann die folgenden Schritte aus:

   

   1. Wechseln Sie zur Registerkarte Delegierung.

      

   2. Wählen Sie Diesen Benutzer nur für die Delegierung an angegebene Dienste vertrauen > Beliebiges Authentifizierungsprotokoll verwenden aus.
   3. Klicken Sie auf Hinzufügen, um anzugeben, an welche Dienste dieses Computerkonto delegiert werden kann.
   4. Klicken Sie im angezeigten Dialogfeld Dienst hinzufügen auf Benutzer oder Computer hinzufügen, um den Computernamen des Delivery Controllers zu suchen (z. B. Dan001).
   5. Wählen Sie die Dienste HOST und HTTP aus, und klicken Sie dann auf OK.

Die Konfigurationsergebnisse sind im folgenden Screenshot dargestellt.

(Optional) Konfigurieren der Delegierung für das Dienstkonto des Web Studio IIS-Servers

Wenn Sie ein Dienstkonto für den Web Studio IIS-Server konfiguriert haben, müssen Sie auch die Delegierung für dieses Dienstkonto an den Delivery Controller für die HOST- und HTTP-Dienste konfigurieren. Mit dieser eingerichteten Delegierung kann der Web Studio-Server sein Dienstkonto verwenden, um den aktuellen Smartcard-Benutzer zu imitieren, um auf den Delivery Controller für die HOST- und HTTP-Dienste zuzugreifen. Führen Sie die folgenden Schritte aus, um die Konfiguration abzuschließen:

1. Starten Sie auf dem Domänencontroller das Active Directory-Verwaltungscenter.
2. Suchen Sie das Benutzerkonto des Web Studio IIS-Servers (Dienstkonto), für den Sie die Delegierung konfigurieren möchten (z. B. svr-stud-002).
3. Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften aus.
4. Befolgen Sie das in Schritt 3 von Konfigurieren der Delegierung für den Web Studio-Server beschriebene Verfahren, um das Dienstkonto des Web Studio IIS-Servers an den Delivery Controller für die HOST- und HTTP-Dienste zu delegieren.

Die Konfigurationsergebnisse sind im folgenden Screenshot dargestellt.

Schritt 6: Smartcard-Authentifizierung für Web Studio aktivieren

Führen Sie die folgenden Schritte aus, um die Smartcard-Authentifizierung für Web Studio zu aktivieren:

1. Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Einstellungen aus.
2. Wählen Sie je nach Bedarf Smartcard-Authentifizierung oder Domänenanmeldeinformationen oder Smartcard-Authentifizierung aus.

3. Klicken Sie auf Anwenden.