Configurar la autenticación con tarjeta inteligente para Web Studio
En este artículo, se describen los pasos necesarios para configurar y habilitar la autenticación con tarjeta inteligente para Web Studio:
Paso 1: Instalar el controlador de la tarjeta inteligente
Paso 2: Emitir certificados para usuarios de tarjetas inteligentes
Paso 3: Inscribir certificados para usuarios de tarjetas inteligentes
Paso 4: Configurar los servidores IIS de Web Studio
Paso 5 (opcional): Configurar las delegaciones de autenticación para Web Studio
Paso 6: Habilitar la autenticación con tarjeta inteligente para Web Studio
Nota:
La autenticación con tarjetas inteligentes solo se admite para usuarios del mismo dominio de Active Directory con servidores de Web Studio.
Paso 1: Instalar el controlador de la tarjeta inteligente
Instale el controlador de la tarjeta inteligente en las siguientes máquinas:
- Controladores de dominio donde está instalado Servicios de certificado.
- Servidores de Web Studio
- Máquinas que los usuarios finales usan para acceder a Web Studio
- Máquinas que usa para inscribir certificados para usuarios de tarjetas inteligentes
El controlador está disponible para su descarga en https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.
Paso 2: Emitir certificados para usuarios de tarjetas inteligentes
En su controlador de dominio, siga estos pasos para completar la tarea:
-
Acceda a su controlador de dominio y abra la entidad de certificación.
- Duplique la plantilla del agente de inscripción. Estos son los pasos detallados:
-
Haga clic con el botón secundario en Plantillas de certificado y seleccione Administrar.
-
Haga clic con el botón secundario en el agente de inscripción y seleccione Duplicar plantilla.
-
En la ficha Nombre del sujeto, asegúrese de que no esté seleccionada la opción para incluir el correo electrónico en el nombre del sujeto.
-
En la ficha Criptografía, seleccione Proveedor de servicios criptográficos de tarjeta inteligente básicos de Microsoft y, a continuación, haga clic en Aceptar. Aparece una plantilla denominada Copia de agente de inscripción en la lista Plantillas de certificado.
-
- Verifique los permisos de la plantilla de usuario de tarjeta inteligente. Estos son los pasos detallados:
- Haga clic con el botón secundario en Plantillas de certificado y seleccione Administrar.
- Haga clic con el botón secundario en Usuario de tarjeta inteligente y seleccione Propiedades.
-
En la ficha Seguridad, verifique que los administradores del dominio tengan seleccionados los siguientes permisos, como se muestra a continuación:
- Emita certificados para tarjetas inteligentes. Estos son los pasos detallados:
- Haga clic con el botón secundario en Plantillas de certificado y, a continuación, seleccione Nuevo > Plantilla que se va a emitir.
- Seleccione Copia de agente de inscripción y Usuario de tarjeta inteligente.
- Haga clic en Aceptar.
Paso 3: Inscribir certificados para usuarios de tarjetas inteligentes
En una máquina Windows física unida a un dominio, siga estos pasos para inscribir los certificados para cada tarjeta inteligente:
- Prepare una máquina Windows física unida a un dominio para uso de la inscripción:
- Asegúrese de que el controlador de la tarjeta inteligente esté instalado.
- Inserte una tarjeta inteligente en la máquina.
- Inicie sesión en la máquina con la cuenta de usuario que quiere asignar a la tarjeta inteligente.
- Agregue el complemento Certificados a la máquina que preparó en el paso 1. Estos son los pasos detallados:
- Abra mmc.
- Haga clic en Archivo y, a continuación, en la opcióin para agregar o quitar el complemento.
- En la ventana para agregar o quitar complementos que aparece, seleccione Certificados y, a continuación, haga clic en Agregar >.
- En el cuadro de diálogo que aparece, seleccione Mi cuenta de usuario y haga clic en Finalizar.
-
Haga clic en Aceptar.
- Solicite nuevos certificados para el complemento Certificados . Estos son los pasos detallados:
-
Vaya a Certificados - Usuario actual > Personal, haga clic con el botón secundario en Certificadosy, a continuación, seleccione Todas las tareas > Solicitar un nuevo certificado.
-
En el cuadro de diálogo Solicitar certificados que aparece, seleccione Copia de agente de inscripción y usuario de tarjeta inteligente.
-
En el cuadro de diálogo anterior, haga clic en Detalles del usuario de tarjeta inteligente y, a continuación, en Propiedades. Aparece el cuadro de diálogo Propiedades del certificado.
- En la ficha Clave privada , expanda Proveedor de servicios de cifrado, desactive Proveedor de servicios criptográficos seguros de Microsoft (cifrado), seleccione únicamenteProveedor de servicios criptográficos de tarjeta inteligente básicos de Microsoft (cifrado) y, a continuación, haga clic en Aceptar.
- Haga clic en Inscribir.
-
En el cuadro de diálogo Seguridad de Windows que aparece, introduzca el código PIN de la tarjeta inteligente y haga clic en Aceptar. Cuando se complete la inscripción, haga clic en Finalizar.
-
Una vez que la inscripción se ha realizado correctamente, aparecen dos certificados en Certificados: Usuario actual -> Personal -> Certificados, como se muestra en la siguiente captura de pantalla.
Paso 4: Configurar los servidores IIS de Web Studio
En cada servidor de Web Studio, siga estos pasos para configurar IIS para la autenticación con tarjeta inteligente:
-
Habilite la autenticación con asignación de certificados del cliente para la máquina de Web Studio**.
El elemento
<clientCertificateMappingAuthentication>
no está disponible en la instalación predeterminada de IIS 7 y versiones posteriores. Para obtener más información sobre la instalación y la habilitación, consulte este artículo de Microsoft. - Inicie el Administrador de IIS en la máquina de Web Studio.
-
Habilite la autenticación de certificados de cliente de Active Directory para la máquina. Estos son los pasos detallados:
-
Seleccione la máquina en el panel izquierdo y haga doble clic en Autenticación.
-
Habilite Autenticación de certificados de cliente de Active Directory.
-
- Configure el módulo Backend de Web Studio para un protocolo HTTPS más seguro con autenticación de certificados de cliente:
-
Vaya a Sitios > Sitio web predeterminado > Studio > Backend > Tarjeta inteligente y, a continuación, haga doble clic en Parámetros de SSL en la sección IIS.
-
Seleccione Requerir para los certificados de cliente.
-
Vuelva a Sitios > Sitio web predeterminado > Studio > Backend > Tarjeta inteligente y, a continuación, haga doble clic en el Editor de configuración en la sección IIS.
-
Asegúrese de que /clientCertificateMappingAuthentication esté habilitado.
-
-
(Solo para Windows 2022) Inhabilite TLS 3.1 a través de TCP. Estos son los pasos detallados:
- Vaya a Sitios > Sitio web predeterminado.
- Haga clic en Editar sitio > Enlaces.
-
En el cuadro de diálogo Enlaces de sitios que aparece, seleccione el registro https y, a continuación, haga clic en Editar.
-
En el cuadro de diálogo Editar enlace de sitio que aparece, seleccione la opción para inhabilitar TLS 1.3 a través de TCP y, a continuación, haga clic en Aceptar.
Información útil:
Backend es un módulo de Web Studio que proporciona las siguientes funciones:
- Autenticación con tarjeta inteligente.
- Obtención de tokens de portador de FMA del servicio de orquestación mediante la autenticación de Windows integrada.
Paso 5 (opcional): Configurar las delegaciones de autenticación para Web Studio
Cuando Web Studio y los Delivery Controllers están instalados en servidores diferentes, debe configurar las delegaciones de cada servidor de Web Studio en los Delivery Controllers para los servicios HOST y HTTPS.
Siga estos pasos para completar la tarea para cada servidor de Web Studio:
- Importar el certificado HTTPS de orquestación de Delivery Controller
- Configurar la delegación para el servidor de Web Studio
- (Opcional) Configurar la delegación para la cuenta de servicio del servidor IIS de Web Studio
Importar el certificado HTTPS de orquestación de Delivery Controller
En el servidor de Web Studio, importe el certificado HTTPS de orquestación de Delivery Controller en las Autoridades de certificación raíz de confianza. Estos son los pasos detallados:
- Inicie Configuración > Administrar certificados de equipo.
-
Haga clic con el botón secundario en Autoridades de certificación raíz de confianza > Certificados y seleccione Todas las tareas > Importar.
- Siga las instrucciones que aparecen en pantalla para importar el certificado HTTPS de orquestación de Delivery Controller.
Configurar la delegación para el servidor de Web Studio
En el controlador de dominio, configure la delegación del servidor Web Studio en el Delivery Controller para los servicios HOST y HTTP. Siga estos pasos para completar la tarea:
- En el controlador de dominio, inicie el Centro de administración de Active Directory.
- Busque la cuenta de equipo del servidor de Web Studio para la que quiere configurar la delegación (por ejemplo, Dan002).
-
Haga clic con el botón secundario en la cuenta, seleccione Propiedadesy, a continuación, complete los pasos siguientes:
-
Vaya a la ficha Delegación.
- Seleccione Confiar en este usuario para la delegación solo a los servicios especificados > Usar cualquier protocolo de autenticación.
- Haga clic en Agregar para especificar en qué servicios se puede delegar esta cuenta de equipo.
- En el cuadro de diálogo Agregar servicio que aparece, haga clic en Agregar usuarios o equipos para buscar el nombre del equipo del Delivery Controller (por ejemplo, Dan001).
- Seleccione los servicios HOST y HTTP y, a continuación, haga clic en Aceptar.
-
Los resultados de la configuración se muestran en la siguiente captura de pantalla.
(Opcional) Configurar la delegación para la cuenta de servicio del servidor IIS de Web Studio
Si ha configurado una cuenta de servicio para el servidor IIS de Web Studio, también debe configurar la delegación de esta cuenta de servicio en el Delivery Controller para los servicios HOST y HTTP. Una vez establecida esta delegación, el servidor de Web Studio puede usar su cuenta de servicio para hacerse pasar por el usuario de la tarjeta inteligente actual para acceder al Delivery Controller para los servicios HOST y HTTP. Siga estos pasos para completar la configuración:
- En el controlador de dominio, inicie el Centro de administración de Active Directory.
- Busque la cuenta de usuario del servidor IIS de Web Studio (cuenta de servicio) para la que quiere configurar la delegación (por ejemplo, svr-stud-002).
- Haga clic con el botón secundario en la cuenta y seleccione Propiedades.
- Siga el procedimiento descrito en el paso 3 de Configurar la delegación para el servidor Web Studio para delegar la cuenta de servicio del servidor Web Studio IIS en el Delivery Controller para los servicios HOST y HTTP.
Los resultados de la configuración se muestran en la siguiente captura de pantalla.
Paso 6: Habilitar la autenticación con tarjeta inteligente para Web Studio
Siga estos pasos para habilitar la autenticación con tarjeta inteligente para Web Studio:
- Inicie sesión en Web Studio y seleccione Parámetros en el panel de la izquierda.
- Seleccione Autenticación con tarjeta inteligente o Credenciales de dominio o autenticación con tarjeta inteligente, según sea necesario.
-
Haga clic en Aplicar.
En este artículo
- Paso 1: Instalar el controlador de la tarjeta inteligente
- Paso 2: Emitir certificados para usuarios de tarjetas inteligentes
- Paso 3: Inscribir certificados para usuarios de tarjetas inteligentes
- Paso 4: Configurar los servidores IIS de Web Studio
- Paso 5 (opcional): Configurar las delegaciones de autenticación para Web Studio
- Paso 6: Habilitar la autenticación con tarjeta inteligente para Web Studio