Configurar la autenticación con tarjeta inteligente para Web Studio

En este artículo, se describen los pasos necesarios para configurar y habilitar la autenticación con tarjeta inteligente para Web Studio:

Paso 1: Instalar el controlador de la tarjeta inteligente

Paso 2: Emitir certificados para usuarios de tarjetas inteligentes

Paso 3: Inscribir certificados para usuarios de tarjetas inteligentes

Paso 4: Configurar los servidores IIS de Web Studio

Paso 5 (opcional): Configurar las delegaciones de autenticación para Web Studio

Paso 6: Habilitar la autenticación con tarjeta inteligente para Web Studio

Nota:

La autenticación con tarjetas inteligentes solo se admite para usuarios del mismo dominio de Active Directory con servidores de Web Studio.

Paso 1: Instalar el controlador de la tarjeta inteligente

Instale el controlador de la tarjeta inteligente en las siguientes máquinas:

  • Controladores de dominio donde está instalado Servicios de certificado.
  • Servidores de Web Studio
  • Máquinas que los usuarios finales usan para acceder a Web Studio
  • Máquinas que usa para inscribir certificados para usuarios de tarjetas inteligentes

El controlador está disponible para su descarga en https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.

Paso 2: Emitir certificados para usuarios de tarjetas inteligentes

En su controlador de dominio, siga estos pasos para completar la tarea:

  1. Acceda a su controlador de dominio y abra la entidad de certificación.

    iniciar CA

  2. Duplique la plantilla del agente de inscripción. Estos son los pasos detallados:
    1. Haga clic con el botón secundario en Plantillas de certificado y seleccione Administrar.

      administrar plantillas de certificados

    2. Haga clic con el botón secundario en el agente de inscripción y seleccione Duplicar plantilla.

    3. En la ficha Nombre del sujeto, asegúrese de que no esté seleccionada la opción para incluir el correo electrónico en el nombre del sujeto.

      Plantillas de certificado > Nombre del sujeto

    4. En la ficha Criptografía, seleccione Proveedor de servicios criptográficos de tarjeta inteligente básicos de Microsoft y, a continuación, haga clic en Aceptar. Aparece una plantilla denominada Copia de agente de inscripción en la lista Plantillas de certificado.

      plantillas de certificado>criptografía

  3. Verifique los permisos de la plantilla de usuario de tarjeta inteligente. Estos son los pasos detallados:
    1. Haga clic con el botón secundario en Plantillas de certificado y seleccione Administrar.
    2. Haga clic con el botón secundario en Usuario de tarjeta inteligente y seleccione Propiedades.
    3. En la ficha Seguridad, verifique que los administradores del dominio tengan seleccionados los siguientes permisos, como se muestra a continuación:

      Plantillas de certificado > seguridad

  4. Emita certificados para tarjetas inteligentes. Estos son los pasos detallados:
    1. Haga clic con el botón secundario en Plantillas de certificado y, a continuación, seleccione Nuevo > Plantilla que se va a emitir.
    2. Seleccione Copia de agente de inscripción y Usuario de tarjeta inteligente.
    3. Haga clic en Aceptar.

Paso 3: Inscribir certificados para usuarios de tarjetas inteligentes

En una máquina Windows física unida a un dominio, siga estos pasos para inscribir los certificados para cada tarjeta inteligente:

  1. Prepare una máquina Windows física unida a un dominio para uso de la inscripción:
    1. Asegúrese de que el controlador de la tarjeta inteligente esté instalado.
    2. Inserte una tarjeta inteligente en la máquina.
    3. Inicie sesión en la máquina con la cuenta de usuario que quiere asignar a la tarjeta inteligente.
  2. Agregue el complemento Certificados a la máquina que preparó en el paso 1. Estos son los pasos detallados:
    1. Abra mmc.
    2. Haga clic en Archivo y, a continuación, en la opcióin para agregar o quitar el complemento.
    3. En la ventana para agregar o quitar complementos que aparece, seleccione Certificados y, a continuación, haga clic en Agregar >.
    4. En el cuadro de diálogo que aparece, seleccione Mi cuenta de usuario y haga clic en Finalizar.
    5. Haga clic en Aceptar.

      Agregar certificado

  3. Solicite nuevos certificados para el complemento Certificados . Estos son los pasos detallados:
    1. Vaya a Certificados - Usuario actual > Personal, haga clic con el botón secundario en Certificadosy, a continuación, seleccione Todas las tareas > Solicitar un nuevo certificado.

      solicitar un nuevo certificado

    2. En el cuadro de diálogo Solicitar certificados que aparece, seleccione Copia de agente de inscripción y usuario de tarjeta inteligente.

      administrar plantillas de certificados

    3. En el cuadro de diálogo anterior, haga clic en Detalles del usuario de tarjeta inteligente y, a continuación, en Propiedades. Aparece el cuadro de diálogo Propiedades del certificado.

      solicitar un nuevo certificado > propiedades

    4. En la ficha Clave privada , expanda Proveedor de servicios de cifrado, desactive Proveedor de servicios criptográficos seguros de Microsoft (cifrado), seleccione únicamenteProveedor de servicios criptográficos de tarjeta inteligente básicos de Microsoft (cifrado) y, a continuación, haga clic en Aceptar.
    5. Haga clic en Inscribir.
    6. En el cuadro de diálogo Seguridad de Windows que aparece, introduzca el código PIN de la tarjeta inteligente y haga clic en Aceptar. Cuando se complete la inscripción, haga clic en Finalizar.

      certificado de inscripción

Una vez que la inscripción se ha realizado correctamente, aparecen dos certificados en Certificados: Usuario actual -> Personal -> Certificados, como se muestra en la siguiente captura de pantalla. administrar plantillas de certificados

Paso 4: Configurar los servidores IIS de Web Studio

En cada servidor de Web Studio, siga estos pasos para configurar IIS para la autenticación con tarjeta inteligente:

  1. Habilite la autenticación con asignación de certificados del cliente para la máquina de Web Studio**.

    El elemento <clientCertificateMappingAuthentication> no está disponible en la instalación predeterminada de IIS 7 y versiones posteriores. Para obtener más información sobre la instalación y la habilitación, consulte este artículo de Microsoft.

  2. Inicie el Administrador de IIS en la máquina de Web Studio.
  3. Habilite la autenticación de certificados de cliente de Active Directory para la máquina. Estos son los pasos detallados:

    1. Seleccione la máquina en el panel izquierdo y haga doble clic en Autenticación.

      IIS > Autenticación

    2. Habilite Autenticación de certificados de cliente de Active Directory.

      IIS > habilitar la autenticación de certificados de cliente de Active Directory

  4. Configure el módulo Backend de Web Studio para un protocolo HTTPS más seguro con autenticación de certificados de cliente:
    1. Vaya a Sitios > Sitio web predeterminado > Studio > Backend > Tarjeta inteligente y, a continuación, haga doble clic en Parámetros de SSL en la sección IIS.

      Módulo de back-end de IIS con tarjeta inteligente (SSL)

    2. Seleccione Requerir para los certificados de cliente.

      Se requiere una tarjeta inteligente en el backend de servidor IIS (SSL)

    3. Vuelva a Sitios > Sitio web predeterminado > Studio > Backend > Tarjeta inteligente y, a continuación, haga doble clic en el Editor de configuración en la sección IIS.

      IIS > Editor de configuración

    4. Asegúrese de que /clientCertificateMappingAuthentication esté habilitado.

      habilitar la autenticación del cliente

  5. (Solo para Windows 2022) Inhabilite TLS 3.1 a través de TCP. Estos son los pasos detallados:

    1. Vaya a Sitios > Sitio web predeterminado.
    2. Haga clic en Editar sitio > Enlaces.
    3. En el cuadro de diálogo Enlaces de sitios que aparece, seleccione el registro https y, a continuación, haga clic en Editar.

      Windows 2022 solo edición https

    4. En el cuadro de diálogo Editar enlace de sitio que aparece, seleccione la opción para inhabilitar TLS 1.3 a través de TCP y, a continuación, haga clic en Aceptar.

      Windows 2022 solo edición https inhabilitada

Información útil:

Backend es un módulo de Web Studio que proporciona las siguientes funciones:

  • Autenticación con tarjeta inteligente.
  • Obtención de tokens de portador de FMA del servicio de orquestación mediante la autenticación de Windows integrada.

Paso 5 (opcional): Configurar las delegaciones de autenticación para Web Studio

Cuando Web Studio y los Delivery Controllers están instalados en servidores diferentes, debe configurar las delegaciones de cada servidor de Web Studio en los Delivery Controllers para los servicios HOST y HTTPS.

Siga estos pasos para completar la tarea para cada servidor de Web Studio:

  1. Importar el certificado HTTPS de orquestación de Delivery Controller
  2. Configurar la delegación para el servidor de Web Studio
  3. (Opcional) Configurar la delegación para la cuenta de servicio del servidor IIS de Web Studio

Importar el certificado HTTPS de orquestación de Delivery Controller

En el servidor de Web Studio, importe el certificado HTTPS de orquestación de Delivery Controller en las Autoridades de certificación raíz de confianza. Estos son los pasos detallados:

  1. Inicie Configuración > Administrar certificados de equipo.
  2. Haga clic con el botón secundario en Autoridades de certificación raíz de confianza > Certificados y seleccione Todas las tareas > Importar.

    Importar certificado DDC

  3. Siga las instrucciones que aparecen en pantalla para importar el certificado HTTPS de orquestación de Delivery Controller.

Configurar la delegación para el servidor de Web Studio

En el controlador de dominio, configure la delegación del servidor Web Studio en el Delivery Controller para los servicios HOST y HTTP. Siga estos pasos para completar la tarea:

  1. En el controlador de dominio, inicie el Centro de administración de Active Directory.
  2. Busque la cuenta de equipo del servidor de Web Studio para la que quiere configurar la delegación (por ejemplo, Dan002).
  3. Haga clic con el botón secundario en la cuenta, seleccione Propiedadesy, a continuación, complete los pasos siguientes:

    configurar la delegación para el servidor de studio

    1. Vaya a la ficha Delegación.

      introducir la configuración de delegación

    2. Seleccione Confiar en este usuario para la delegación solo a los servicios especificados > Usar cualquier protocolo de autenticación.
    3. Haga clic en Agregar para especificar en qué servicios se puede delegar esta cuenta de equipo.
    4. En el cuadro de diálogo Agregar servicio que aparece, haga clic en Agregar usuarios o equipos para buscar el nombre del equipo del Delivery Controller (por ejemplo, Dan001).
    5. Seleccione los servicios HOST y HTTP y, a continuación, haga clic en Aceptar.

Los resultados de la configuración se muestran en la siguiente captura de pantalla. administrar plantillas de certificados

(Opcional) Configurar la delegación para la cuenta de servicio del servidor IIS de Web Studio

Si ha configurado una cuenta de servicio para el servidor IIS de Web Studio, también debe configurar la delegación de esta cuenta de servicio en el Delivery Controller para los servicios HOST y HTTP. Una vez establecida esta delegación, el servidor de Web Studio puede usar su cuenta de servicio para hacerse pasar por el usuario de la tarjeta inteligente actual para acceder al Delivery Controller para los servicios HOST y HTTP. Siga estos pasos para completar la configuración:

  1. En el controlador de dominio, inicie el Centro de administración de Active Directory.
  2. Busque la cuenta de usuario del servidor IIS de Web Studio (cuenta de servicio) para la que quiere configurar la delegación (por ejemplo, svr-stud-002).
  3. Haga clic con el botón secundario en la cuenta y seleccione Propiedades.
  4. Siga el procedimiento descrito en el paso 3 de Configurar la delegación para el servidor Web Studio para delegar la cuenta de servicio del servidor Web Studio IIS en el Delivery Controller para los servicios HOST y HTTP.

Los resultados de la configuración se muestran en la siguiente captura de pantalla.

administrar plantillas de certificados

Paso 6: Habilitar la autenticación con tarjeta inteligente para Web Studio

Siga estos pasos para habilitar la autenticación con tarjeta inteligente para Web Studio:

  1. Inicie sesión en Web Studio y seleccione Parámetros en el panel de la izquierda.
  2. Seleccione Autenticación con tarjeta inteligente o Credenciales de dominio o autenticación con tarjeta inteligente, según sea necesario.
  3. Haga clic en Aplicar.

    administrar plantillas de certificados