Smartcardauthentifizierung für Web Studio einrichten
In diesem Artikel werden die Schritte beschrieben, die zum Einrichten und Aktivieren der Smartcardauthentifizierung für Web Studio erforderlich sind:
Schritt 1: Smartcardtreiber installieren
Schritt 2: Zertifikate für Smartcardbenutzer ausstellen
Schritt 3: Zertifikate für Smartcardbenutzer registrieren
Schritt 4: Web Studio IIS-Server konfigurieren
Schritt 5 (optional) Authentifizierungsdelegationen für Web Studio konfigurieren
Schritt 6: Smartcardauthentifizierung für Web Studio aktivieren
Hinweis:
Die Smartcardauthentifizierung wird nur für Benutzer aus derselben Active Directory-Domäne mit Web Studio-Servern unterstützt.
Schritt 1: Smartcardtreiber installieren
Installieren Sie den Smartcardtreiber auf den folgenden Maschinen:
- Domänencontroller, auf denen der Zertifikatsdienst installiert ist.
- Web Studio-Server
- Maschinen, mit denen Endbenutzer auf Web Studio zugreifen
- Maschinen, die Sie zum Registrieren von Zertifikaten für Smartcardbenutzer verwenden
Der Treiber steht unter https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers zum Download bereit.
Schritt 2: Zertifikate für Smartcardbenutzer ausstellen
Gehen Sie auf Ihrem Domänencontroller wie folgt vor, um die Aufgabe abzuschließen:
-
Greifen Sie auf Ihren Domänencontroller zu und öffnen Sie Zertifizierungsstelle.
- Duplizieren Sie die Enrollment Agent-Vorlage. Verfahren:
-
Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten aus.
-
Klicken Sie mit der rechten Maustaste auf Enrollment Agent und wählen Sie Vorlage duplizieren aus.
-
Vergewissern Sie sich, dass auf der Registerkarte Betreffname die Option E-Mail in Antragstellername einbeziehen deaktiviert ist.
-
Wählen Sie auf der Registerkarte Kryptografie die Option Microsoft Base Smart Card Crypto Provider aus und klicken Sie dann auf OK. Eine Vorlage mit dem Namen Kopie von Enrollment Agent wird in der Liste der Zertifikatvorlagen angezeigt.
-
- Überprüfen Sie die Berechtigungen der Smartcardbenutzervorlage. Verfahren:
- Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie Verwalten aus.
- Klicken Sie mit der rechten Maustaste auf Smartcardbenutzer und wählen Sie Eigenschaften aus.
-
Vergewissern Sie sich, dass für Domänenadministratoren auf der Registerkarte Sicherheit die folgenden Berechtigungen ausgewählt sind, wie unten dargestellt:
- Stellen Sie Zertifikate für Smartcards aus. Verfahren:
- Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen und wählen Sie dann Neu > Auszustellende Vorlage aus.
- Wählen Sie Kopie von Enrollment Agent und Smartcardbenutzer aus.
- Klicken Sie auf OK.
Schritt 3: Zertifikate für Smartcardbenutzer registrieren
Gehen Sie auf einem physischen Windows-Computer, der einer Domäne beigetreten ist, wie folgt vor, um Zertifikate für jede Smartcard zu registrieren:
- Bereiten Sie einen in die Domäne eingebundenen physischen Windows-Computer für die Registrierung vor:
- Stellen Sie sicher, dass der Smartcardtreiber installiert ist.
- Legen Sie eine Smartcard in das Gerät ein.
- Melden Sie sich mit dem Benutzerkonto, das Sie der Smartcard zuweisen möchten, an der Maschine an.
- Fügen Sie das Zertifikat-Snap-In auf der Maschine hinzu, den Sie in Schritt 1 vorbereitet haben. Verfahren:
- Öffnen Sie mmc.
- Klicken Sie auf Datei und dann auf Snap-In hinzufügen/entfernen.
- Wählen Sie im daraufhin angezeigten Fenster Snap-Ins hinzufügen oder entfernen die Option Zertifikate aus und klicken Sie dann auf Hinzufügen >.
- Wählen Sie im daraufhin angezeigten Dialogfeld Mein Benutzerkonto aus und klicken Sie auf Fertigstellen.
-
Klicken Sie auf OK.
- Fordern Sie neue Zertifikate für das Zertifikat-Snap-In an. Verfahren:
-
Gehen Sie zu Zertifikate — Aktueller Benutzer > Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate und wählen Sie dann Alle Aufgaben > Neues Zertifikat anfordern aus.
-
Wählen Sie im daraufhin angezeigten Dialogfeld Zertifikate anfordern die Option Kopie von Enrollment Agent und Smartcardbenutzer aus.
-
Klicken Sie im obigen Dialogfeld auf Details für Smartcardbenutzer und dann auf Eigenschaften. Das Dialogfeld Zertifikateigenschaften wird angezeigt.
- Erweitern Sie auf der Registerkarte Privater Schlüssel den Eintrag Kryptografieanbietet, deaktivieren Sie Microsoft Strong Cryptographic Provider (Encryption), wählen Sie nur Microsoft Base Smart Card Crypto Provider (Encryption) aus, und klicken Sie dann auf OK.
- Klicken Sie auf Registrierung.
-
Geben Sie im daraufhin angezeigten Windows-Sicherheitsdialogfeld den Smartcard-PIN-Code ein und klicken Sie auf OK. Wenn die Registrierung abgeschlossen ist, klicken Sie auf Fertigstellen.
-
Nach erfolgreicher Registrierung werden zwei Zertifikate unter Zertifikate — Aktueller Benutzer -> Persönlich -> Zertifikate angezeigt, wie im folgenden Screenshot gezeigt.
Schritt 4: Web Studio IIS-Server konfigurieren
Gehen Sie auf jedem Web Studio-Server wie folgt vor, um IIS für die Smartcardauthentifizierung zu konfigurieren:
-
Aktivieren Sie die Client-Zertifikatszuordnungsauthentifizierung für die Web Studio-Maschine**.
Das Element
<clientCertificateMappingAuthentication>
ist in der Standardinstallation von IIS 7 und höher nicht verfügbar. Weitere Informationen zur Installation und Aktivierung finden Sie in diesem Microsoft-Artikel. - Starten Sie IIS Manager auf der Web Studio-Maschine.
-
Aktivieren Sie die Active Directory-Client-Zertifikatsauthentifizierung für die Maschine. Verfahren:
-
Wählen Sie das Gerät im linken Bereich aus und doppelklicken Sie auf Authentifizierung.
-
Stellen Sie sicher, dass für Active Directory-Clientzertifikatauthentifizierung der Status Aktiviert angezeigt wird.
-
- Konfigurieren Sie das Web Studio-Backend-Modul für ein sichereres HTTPS-Protokoll mit Client-Zertifikatsauthentifizierung:
-
Gehen Sie zu Websites > Standardwebsite > Studio > Backend > Smartcard und doppelklicken Sie dann im Abschnitt IIS auf SSL-Einstellungen.
-
Wählen Sie für Clientzertifikate erforderlich aus.
-
Kehren Sie zu Sites > Standardwebsite > Studio > Backend > Smartcard zurück und doppelklicken Sie dann im Abschnitt IIS auf Konfigurationseditor.
-
Stellen Sie sicher, dass /clientCertificateMappingAuthentication aktiviert ist.
-
-
(Nur Windows 2022) Deaktivieren Sie TLS 3.1 über TCP. Verfahren:
- Gehen Sie zu Sites > Standardwebsite.
- Klicken Sie auf Site bearbeiten > Bindung.
-
Wählen Sie im daraufhin angezeigten Dialogfeld Site-Bindungen den https-Datensatz aus, und klicken Sie dann auf Bearbeiten.
-
Wählen Sie im daraufhin angezeigten Dialogfeld Site-Bindung bearbeiten die Option TLS 1.3 über TCP deaktivieren aus und klicken Sie dann auf OK.
Nützliche Info:
Web Studio Backend ist ein Modul in Web Studio, das die folgenden Funktionen bietet:
- Smartcardauthentifizierung
- Abrufen von FMA-Bearer-Token aus dem Orchestrierungsdienst Service mit der integrierten Windows-Authentifizierung.
Schritt 5 (optional) Authentifizierungsdelegationen für Web Studio konfigurieren
Wenn Web Studio und Delivery Controller auf verschiedenen Servern installiert sind, müssen Sie Delegationen für jeden Web Studio-Server an die Delivery Controller für HOST- und HTTPS-Dienste konfigurieren.
Gehen Sie wie folgt vor, um die Aufgabe für jeden Web Studio-Server abzuschließen:
- Das Delivery Controller Orchestration HTTPS-Zertifikat importieren
- Delegierung für den Web Studio-Server konfigurieren
- (Optional) Delegierung für das Dienstkonto des Web Studio IIS-Servers konfigurieren
Das Delivery Controller Orchestration HTTPS-Zertifikat importieren
Importieren Sie auf dem Web Studio-Server das Delivery Controller Orchestration HTTPS-Zertifikat in Vertrauenswürdige Stammzertifizierungsstellen. Verfahren:
- Starten Sie Einstellungen > Computerzertifikate verwalten.
-
Klicken Sie mit der rechten Maustaste auf Vertrauenswürdige Stammzertifizierungsstellen > Zertifikate und wählen Sie Alle Aufgaben > Importieren aus.
- Folgen Sie den Anweisungen auf dem Bildschirm, um das Delivery Controller Orchestration HTTPS-Zertifikat zu importieren.
Delegierung für den Web Studio-Server konfigurieren
Konfigurieren Sie auf dem Domänencontroller die Delegierung des Web Studio-Servers an den Delivery Controller für HOST- und HTTP-Dienste. Gehen Sie wie folgt vor, um die Aufgabe abzuschließen:
- Starten Sie auf dem Domänencontroller das Active Directory-Verwaltungscenter.
- Suchen Sie das Computerkonto des Web Studio Servers, für den Sie die Delegierung konfigurieren möchten (z. B. Dan002).
-
Klicken Sie mit der rechten Maustaste auf das Konto, wählen Sie Eigenschaften aus und führen Sie dann die folgenden Schritte aus:
-
Gehen Sie zur Registerkarte Delegierung.
- Wählen Sie Benutzer bei Delegierungen angegebener Dienste vertrauen > Beliebiges Authentifizierungsprotokoll verwenden.
- Klicken Sie auf Hinzufügen, um anzugeben, an welche Dienste dieses Computerkonto delegiert werden kann.
- Klicken Sie im daraufhin angezeigten Dialogfeld Dienst hinzufügen auf Benutzer oder Computer hinzufügen, um den Computernamen des Delivery Controllers zu ermitteln (z. B. Dan001).
- Wählen Sie die Dienste HOST und HTTP aus und klicken Sie dann auf OK.
-
Die Konfigurationsergebnisse sind im folgenden Screenshot dargestellt.
(Optional) Delegierung für das Dienstkonto des Web Studio IIS-Servers konfigurieren
Wenn Sie ein Dienstkonto für den Web Studio IIS-Server konfiguriert haben, müssen Sie auch die Delegierung für dieses Dienstkonto an den Delivery Controller für die HOST- und HTTP-Dienste konfigurieren. Wenn diese Delegierung eingerichtet ist, kann der Web Studio-Server sein Dienstkonto verwenden, um die Identität des aktuellen Smartcardbenutzers anzunehmen, um auf den Delivery Controller für die HOST- und HTTP-Dienste zuzugreifen. Gehen Sie wie folgt vor, um die Konfiguration abzuschließen:
- Starten Sie auf dem Domänencontroller das Active Directory-Verwaltungscenter.
- Suchen Sie das Benutzerkonto des Web Studio IIS-Servers (Dienstkonto), für den Sie die Delegierung konfigurieren möchten (z. B. svr-stud-002).
- Klicken Sie mit der rechten Maustaste auf das Konto und wählen Sie Eigenschaften.
- Gehen Sie wie in Schritt 3 unter Delegierung für den Web Studio-Server konfigurieren beschrieben vor, um das Dienstkonto des Web Studio-IIS-Servers an den Delivery Controller für die HOST- und HTTP-Dienste zu delegieren.
Die Konfigurationsergebnisse sind im folgenden Screenshot dargestellt.
Schritt 6: Smartcardauthentifizierung für Web Studio aktivieren
Gehen Sie wie folgt vor, um die Smartcardauthentifizierung für Web Studio zu aktivieren:
- Melden Sie sich bei Web Studio an und wählen Sie im linken Bereich Einstellungen.
- Wählen Sie je nach Bedarf Smartcardauthentifizierung oder Domänenanmeldedaten oder Smartcardauthentifizierung aus.
-
Klicken Sie auf Anwenden.
In diesem Artikel
- Schritt 1: Smartcardtreiber installieren
- Schritt 2: Zertifikate für Smartcardbenutzer ausstellen
- Schritt 3: Zertifikate für Smartcardbenutzer registrieren
- Schritt 4: Web Studio IIS-Server konfigurieren
- Schritt 5 (optional) Authentifizierungsdelegationen für Web Studio konfigurieren
- Schritt 6: Smartcardauthentifizierung für Web Studio aktivieren