Configurar la autenticación con tarjeta inteligente para Web Studio

Este artículo describe los pasos necesarios para configurar y habilitar la autenticación con tarjeta inteligente para Web Studio:

Paso 1: Instalar el controlador de tarjeta inteligente

Paso 2: Emitir certificados para usuarios de tarjeta inteligente

Paso 3: Inscribir certificados para usuarios de tarjeta inteligente

Paso 4: Configurar los servidores IIS de Web Studio

Paso 5 (Opcional): Configurar delegaciones de autenticación para Web Studio

• Paso 6: Habilitar la autenticación con tarjeta inteligente para Web Studio

• Nota:

  La autenticación con tarjeta inteligente solo es compatible con usuarios del mismo dominio de Active Directory que los servidores de Web Studio.

Paso 1: Instalar el controlador de tarjeta inteligente

Instala el controlador de tarjeta inteligente en las siguientes máquinas:

• Controladores de dominio donde está instalado el Servicio de certificados.
• Servidores de Web Studio
• Máquinas que los usuarios finales usan para acceder a Web Studio
• Máquinas que usas para inscribir certificados para usuarios de tarjeta inteligente

Los controladores de tarjeta inteligente varían según el proveedor. Por ejemplo, si usas hardware de tarjeta inteligente proporcionado por ITS, descarga los controladores SaftNet de https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Paso 2: Emitir certificados para usuarios de tarjeta inteligente

Nota:

Los siguientes pasos se proporcionan como ejemplo para guiarte a través del proceso.

En tu Controlador de dominio, sigue estos pasos para completar la tarea:

1. Accede a tu Controlador de dominio y abre Autoridad de certificación.

   

2. Duplica la plantilla Agente de inscripción. Los pasos detallados son los siguientes:

   1. Haz clic con el botón secundario en Plantillas de certificado y selecciona Administrar.

      

   2. Haz clic con el botón secundario en Agente de inscripción y selecciona Duplicar plantilla.

   3. En la ficha Nombre del sujeto, asegúrate de que la opción Incluir correo electrónico en el nombre del sujeto no esté seleccionada.

      

   4. En la ficha Criptografía, selecciona Microsoft Base Smart Card Crypto Provider y, a continuación, haz clic en Aceptar. Una plantilla llamada Copia de Agente de inscripción aparece en la lista Plantillas de certificado.

      

3. Emite certificados para tarjetas inteligentes. Los pasos detallados son los siguientes:
   1. Haz clic con el botón secundario en Plantillas de certificado y, a continuación, selecciona Nuevo > Plantilla para emitir.
   2. Selecciona Copia de Agente de inscripción y Usuario de tarjeta inteligente.
   3. Haz clic en Aceptar.

Paso 3: Inscribir certificados para usuarios de tarjeta inteligente

Nota:

Los siguientes pasos se proporcionan como ejemplo para guiarte a través del proceso.

En una máquina física Windows unida a un dominio, sigue estos pasos para inscribir certificados para cada tarjeta inteligente:

1. Prepara una máquina física Windows unida a un dominio para el uso de inscripción:
   1. Asegúrate de que el controlador de tarjeta inteligente esté instalado.
   2. Inserta una tarjeta inteligente en la máquina.
   3. Inicia sesión en la máquina con la cuenta de usuario que quieres asignar a la tarjeta inteligente.
2. Agrega el complemento Certificados a la máquina que preparaste en el paso 1. Los pasos detallados son los siguientes:
   1. Abre mmc.
   2. Haz clic en Archivo y, a continuación, haz clic en Agregar o quitar complementos.
   3. En la ventana Agregar o quitar complementos que aparece, selecciona Certificados y, a continuación, haz clic en Agregar >.
   4. En el cuadro de diálogo que aparece, selecciona Mi cuenta de usuario y haz clic en Finalizar.

   5. Haz clic en Aceptar.

      

3. Solicita nuevos certificados para el complemento Certificados. Los pasos detallados son los siguientes:

   1. Ve a Certificados - Usuario actual > Personal, haz clic con el botón secundario en Certificados y, a continuación, selecciona Todas las tareas > Solicitar nuevo certificado.

      

   2. En el cuadro de diálogo Solicitar certificados que aparece, selecciona Copia de Agente de inscripción y Usuario de tarjeta inteligente.

      

   3. En el cuadro de diálogo anterior, haz clic en Detalles para Usuario de tarjeta inteligente y, a continuación, haz clic en Propiedades. Aparece el cuadro de diálogo Propiedades del certificado.

• 

  1. En la ficha Clave privada, expande Proveedor de servicios criptográficos, desmarca Microsoft Strong Cryptographic Provider (Cifrado), selecciona solo Microsoft Base Smart Card Crypto Provider (Cifrado) y, a continuación, haz clic en Aceptar.
  2. Haz clic en Inscribir.

  3. En el cuadro de diálogo Seguridad de Windows que aparece, introduce el código PIN de la tarjeta inteligente y haz clic en Aceptar. Cuando la inscripción se complete, haz clic en Finalizar.

     

Después de una inscripción correcta, aparecen dos certificados en Certificados - Usuario actual -> Personal -> Certificados, como se muestra en la siguiente captura de pantalla.

Paso 4: Configurar los servidores IIS de Web Studio

En cada servidor de Web Studio, sigue estos pasos para configurar IIS para la autenticación con tarjeta inteligente:

1. Habilita la Autenticación de asignación de certificados de cliente para la máquina de Web Studio.

   El elemento <clientCertificateMappingAuthentication> no está disponible en la instalación predeterminada de IIS 7 y versiones posteriores. Para obtener más información sobre la instalación y habilitación, consulta este artículo de Microsoft.

2. Inicia el Administrador de IIS en la máquina de Web Studio.

3. Habilita la Autenticación de certificado de cliente de Active Directory para la máquina. Los pasos detallados son los siguientes:

   1. Selecciona la máquina en el panel izquierdo y haz doble clic en Autenticación.

      

4. Habilita la autenticación de certificado de cliente de Active Directory.

   

5. Configura el módulo de backend de Web Studio para un protocolo HTTPS más seguro con autenticación de certificado de cliente:

   1. Ve a Sitios > el nombre del sitio IIS donde está instalado Web Studio (ID de sitio = 1, por defecto, Sitio web predeterminado) > Studio > Backend > Tarjeta inteligente, luego haz doble clic en Configuración SSL en la sección IIS.

      

   2. Selecciona Requerir para Certificados de cliente.

      

   3. Vuelve a Sitios > el nombre del sitio IIS donde está instalado Web Studio (ID de sitio = 1, por defecto, Sitio web predeterminado) > Studio > Backend > Tarjeta inteligente y luego haz doble clic en Editor de configuración en la sección IIS.

      

   4. Asegúrate de que /clientCertificateMappingAuthentication esté habilitado.

      

6. (Solo Windows 2022) Deshabilita TLS 3.1 sobre TCP. Los pasos detallados son los siguientes:

   1. Ve a Sitios > el nombre del sitio IIS donde está instalado Web Studio (ID de sitio = 1, por defecto, Sitio web predeterminado).
   2. Haz clic en Editar sitio > Enlace.

   3. En el cuadro de diálogo Enlaces de sitio que aparece, selecciona el registro https y luego haz clic en Editar.

      

   4. En el cuadro de diálogo Editar enlace de sitio que aparece, selecciona Deshabilitar TLS 1.3 sobre TCP y luego haz clic en Aceptar.

      

Es bueno saber:

El backend de Web Studio es un módulo de Web Studio que proporciona las siguientes funciones:

• Autenticación de tarjeta inteligente.
• Recuperación de tokens de portador FMA del servicio de orquestación mediante autenticación integrada de Windows.

Paso 5 (Opcional) Configurar delegaciones de autenticación para Web Studio

Cuando Web Studio y los Delivery Controllers están instalados en servidores diferentes, debes configurar delegaciones para cada servidor de Web Studio a los Delivery Controllers para los servicios HOST y HTTPS.

Sigue estos pasos para completar la tarea para cada servidor de Web Studio:

1. Importar el certificado HTTPS de orquestación de Delivery Controller™
2. Configurar la delegación para el servidor de Web Studio
3. (Opcional) Configurar la delegación para la cuenta de servicio del servidor IIS de Web Studio

Importar el certificado HTTPS de orquestación de Delivery Controller

En el servidor de Web Studio, importa el certificado HTTPS de orquestación de Delivery Controller a Autoridades de certificación raíz de confianza. Los pasos detallados son los siguientes:

1. Inicia Configuración > Administrar certificados de equipo.

2. Haz clic con el botón derecho en Autoridades de certificación raíz de confianza > Certificados y selecciona Todas las tareas > Importar.

   

3. Sigue las instrucciones en pantalla para importar el certificado HTTPS de orquestación de Delivery Controller.

Configurar la delegación para el servidor de Web Studio

En el controlador de dominio, configura la delegación para el servidor de Web Studio al Delivery Controller para los servicios HOST y HTTP. Sigue estos pasos para completar la tarea:

1. En el controlador de dominio, inicia el Centro de administración de Active Directory.
2. Localiza la cuenta de equipo del servidor de Web Studio para la que quieres configurar la delegación (por ejemplo, Dan002).

3. Haz clic con el botón derecho en la cuenta, selecciona Propiedades y luego completa los siguientes pasos:

   

   1. Ve a la ficha Delegación.

      

   2. Selecciona Confiar en este usuario para la delegación solo a los servicios especificados > Usar cualquier protocolo de autenticación.
   3. Haz clic en Agregar para especificar a qué servicios se puede delegar esta cuenta de equipo.
   4. En el cuadro de diálogo Agregar servicio que aparece, haz clic en Agregar usuarios o equipos para localizar el nombre de equipo del Delivery Controller (por ejemplo, Dan001).
   5. Selecciona los servicios HOST y HTTP y luego haz clic en Aceptar.

Los resultados de la configuración se muestran en la siguiente captura de pantalla.

(Opcional) Configurar la delegación para la cuenta de servicio del servidor IIS de Web Studio

Si has configurado una cuenta de servicio para el servidor IIS de Web Studio, también debes configurar la delegación para esta cuenta de servicio al Delivery Controller para los servicios HOST y HTTP. Con esta delegación establecida, el servidor de Web Studio puede usar su cuenta de servicio para suplantar al usuario actual de la tarjeta inteligente para acceder al Delivery Controller para los servicios HOST y HTTP. Sigue estos pasos para completar la configuración:

1. En el controlador de dominio, inicia el Centro de administración de Active Directory.
2. Localiza la cuenta de usuario del servidor IIS de Web Studio (cuenta de servicio) para la que quieres configurar la delegación (por ejemplo, svr-stud-002).
3. Haz clic con el botón derecho en la cuenta y selecciona Propiedades.
4. Sigue el procedimiento descrito en el paso 3 de Configurar la delegación para el servidor de Web Studio para delegar la cuenta de servicio del servidor IIS de Web Studio al Delivery Controller para los servicios HOST y HTTP.

Los resultados de la configuración se muestran en la siguiente captura de pantalla.

Paso 6: Habilitar la autenticación de tarjeta inteligente para Web Studio

Sigue estos pasos para habilitar la autenticación de tarjeta inteligente para Web Studio:

1. Inicia sesión en Web Studio y selecciona Configuración en el panel izquierdo.
2. Selecciona Autenticación de tarjeta inteligente o Credenciales de dominio o autenticación de tarjeta inteligente según sea necesario.

3. Haz clic en Aplicar.