Configurar autenticação de cartão inteligente para o Web Studio
Este artigo descreve as etapas necessárias para configurar e ativar a autenticação de cartão inteligente para o Web Studio:
Etapa 1: instalar o driver do cartão inteligente
Etapa 2: emitir certificados para usuários de cartões inteligentes
Etapa 3: inscrever certificados para usuários de cartões inteligentes
Etapa 4: configurar servidores IIS do Web Studio
Etapa 5 (opcional): configurar delegações de autenticação para o Web Studio
Etapa 6: habilitar a autenticação de cartão inteligente para o Web Studio
Nota:
A autenticação de cartão inteligente tem suporte apenas para usuários do mesmo domínio do Active Directory com servidores do Web Studio.
Etapa 1: instalar o driver do cartão inteligente
Instale o driver do cartão inteligente nas seguintes máquinas:
- Controladores de domínio em que o Serviço de Certificado está instalado.
- Servidores do Web Studio
- Máquinas que os usuários finais usam para acessar o Web Studio
- Máquinas que você usa para registrar certificados para usuários de cartões inteligentes
O driver está disponível para download em https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers.
Etapa 2: emitir certificados para usuários de cartões inteligentes
No seu controlador de domínio, siga estas etapas para concluir a tarefa:
-
Acesse seu controlador de domínio e abra a Autoridade de certificação.
- Duplique o modelo do Agente de Inscrição. As etapas detalhadas são as seguintes:
-
Clique com o botão direito do mouse em Modelos de certificado e selecione Gerenciar.
- Clique com o botão direito do mouse em Agente de inscrição e selecione Modelo duplicado.
-
Na guia Criptografia, selecione Microsoft Base Smart Card Crypto Provider e clique em OK. Um modelo chamado Cópia do agente de inscrição aparece na lista Modelos de certificado.
-
Na guia Nome do assunto, verifique se a opção Incluir email no nome do assunto não está selecionada.
-
- Verifique as permissões do modelo de Usuário de cartão inteligente. As etapas detalhadas são as seguintes:
- Clique com o botão direito do mouse em Modelos de certificado e selecione Gerenciar.
- Clique com o botão direito do mouse em Usuário de cartão inteligente e selecione Propriedades.
-
Na guia Segurança, verifique se os Administradores de domínio têm as seguintes permissões selecionadas, conforme mostrado abaixo:
- Emita certificados para cartões inteligentes. As etapas detalhadas são as seguintes:
- Clique com o botão direito do mouse em Modelos de certificado e selecione Novo > Modelo a ser emitido.
- Selecione Cópia do agente de inscrição e Usuário de cartão inteligente.
- Clique em OK.
Etapa 3: inscrever certificados para usuários de cartões inteligentes
Em uma máquina com Windows física associada a um domínio, siga estas etapas para registrar certificados para cada cartão inteligente:
- Prepare uma máquina com Windows física associada ao domínio para o uso da inscrição:
- Certifique-se de que o driver do cartão inteligente esteja instalado.
- Insira um cartão inteligente na máquina.
- Faça logon na máquina usando a conta de usuário que você deseja atribuir ao cartão inteligente.
- Adicione o snap-in de Certificados na máquina que você preparou na etapa 1. As etapas detalhadas são as seguintes:
- Abra mmc.
- Clique em Arquivo e clique em Adicionar/Remover snap-in.
- Na janela Adicionar ou remover snap-ins exibida, selecione Certificados e clique em Adicionar >.
- Na caixa de diálogo exibida, selecione Minha conta de usuário e clique em Concluir.
-
Clique em OK.
- Solicite novos certificados para o snap-in de Certificados . As etapas detalhadas são as seguintes:
-
Vá para Certificados - Usuário atual > Pessoal, clique com o botão direito do mouse em Certificados e selecione Todas as tarefas > Solicitar novo certificado.
-
Na caixa de diálogo Solicitar certificados exibida, selecione Cópia do agente de inscrição e Usuário de cartão inteligente.
- Na caixa de diálogo acima, clique em Detalhes do Usuário de cartão inteligente e clique em Propriedades. A caixa de diálogo Propriedades do certificado é exibida.
- Na guia Chave privada , expanda Provedor de serviços de criptografia, desmarque Microsoft Strong Cryptographic Provider (Criptografia), selecione apenas Microsoft Base Smart Card Crypto Provider (Criptografia) e clique em OK.
- Clique em Registrar.
- Na caixa de diálogo Segurança do Windows exibida, insira o código PIN do cartão inteligente e clique em OK. Quando a inscrição for concluída, clique em Concluir.
-
Após a inscrição bem-sucedida, dois certificados aparecem em Certificados - Usuário atual -> Pessoal -> Certificados, conforme mostrado na captura de tela a seguir.
Etapa 4: configurar servidores IIS do Web Studio
Em cada servidor do Web Studio, siga estas etapas para configurar o IIS para autenticação de cartão inteligente:
-
Ative a Autenticação de mapeamento de certificado do cliente para a máquina do Web Studio**.
O elemento
<clientCertificateMappingAuthentication>
não está disponível na instalação padrão do IIS 7 e posterior. Para obter mais informações sobre instalação e ativação, consulte este artigo da Microsoft. - Inicie o Gerenciador do IIS na máquina do Web Studio.
-
Ative a Autenticação de certificado de cliente do Active Directory para a máquina. As etapas detalhadas são as seguintes:
-
Selecione a máquina no painel esquerdo e clique duas vezes em Autenticação.
-
Ative Autenticação de certificado de cliente do Active Directory.
-
- Configure o módulo Backend do Web Studio para um protocolo HTTPS mais seguro com autenticação de certificado de cliente:
-
Acesse Sites > Site padrão > Studio > Backend > Cartão inteligente clique duas vezes em Configurações de SSL na seção IIS.
-
Selecione Exigir para Certificados de cliente.
-
Volte para Sites > Site padrão > Studio > Backend > Cartão inteligente e clique duas vezes no Editor de configuração na seção IIS.
-
Certifique-se de que /clientCertificateMapingAuthentication esteja habilitado.
-
-
(Somente Windows 2022) Desative o TLS 3.1 sobre TCP. As etapas detalhadas são as seguintes:
- Vá para Sites > Site padrão.
- Clique em Editar site > Ligação.
-
Na caixa de diálogo Ligações do site exibida, selecione o registro https e clique em Editar.
-
Na caixa de diálogo Editar ligação do site exibida, selecione Desativar TLS 1.3 sobre TCP e clique em OK.
É bom saber:
O Backend do Web Studio é um módulo no Web Studio que fornece as seguintes funções:
- Autenticação de cartão inteligente.
- Recuperação de tokens de portador de FMA do serviço Orchestration usando a autenticação integrada do Windows.
Etapa 5 (opcional): configurar delegações de autenticação para o Web Studio
Quando o Web Studio e os Delivery Controllers estão instalados em servidores diferentes, você deve configurar delegações de cada servidor do Web Studio para os Delivery Controllers de serviços HOST e HTTPS.
Siga estas etapas para concluir a tarefa para cada servidor do Web Studio:
- Importar o certificado HTTPS do Delivery Controller Orchestration
- Configurar a delegação para o servidor do Web Studio
- Configurar a delegação para a conta de serviço do servidor IIS do Web Studio
Importar o certificado HTTPS do Delivery Controller Orchestration
No servidor do Web Studio, importe o certificado HTTPS do Delivery Controller Orchestration para Autoridades de certificação raiz confiáveis. As etapas detalhadas são as seguintes:
- Inicie Configurações > Gerenciar certificados de computador.
-
Clique com o botão direito do mouse em Autoridades de certificação raiz confiáveis > Certificados e selecione Todas as tarefas > Importar.
- Siga as instruções na tela para importar o certificado HTTPS do Delivery Controller Orchestration.
Configurar a delegação para o servidor do Web Studio
No controlador de domínio, configure a delegação do servidor do Web Studio para o Delivery Controller de serviços HOST e HTTP. Siga estas etapas para concluir a tarefa:
- No controlador de domínio, inicie o Centro Administrativo do Active Directory.
- Localize a conta de computador do Web Studio Server que você deseja configurar para delegação (por exemplo, Dan002).
-
Clique com o botão direito do mouse na conta e selecione Propriedades.
-
Vá para a guia Delegação.
- Selecione Confiar neste usuário para delegação apenas aos serviços especificados > Usar qualquer protocolo de autenticação.
- Clique em Adicionar para especificar a quais serviços essa conta de computador pode ser delegada.
- Na caixa de diálogo Adicionar serviço exibida, clique em Adicionar usuários ou computadores para localizar o nome do computador do Delivery Controller (por exemplo, Dan001).
- Selecione os serviços HOST e HTTP e clique em OK.
-
Os resultados da configuração são mostrados na captura de tela a seguir.
Configurar a delegação para a conta de serviço do servidor IIS do Web Studio
Se você tiver configurado uma conta de serviço para o servidor IIS do Web Studio, também precisará configurar a delegação dessa conta de serviço ao Delivery Controller para os serviços HOST e HTTP. Com essa delegação estabelecida, o servidor do Web Studio pode usar sua conta de serviço para se passar pelo usuário atual do cartão inteligente para acessar os serviços HOST e HTTP do grupo de entrega. Siga estas etapas para concluir a configuração:
- No controlador de domínio, inicie o Centro Administrativo do Active Directory.
- Localize a conta de usuário que você deseja configurar para delegação (porexemplo, svr-stud-002).
- Clique com o botão direito do mouse na conta e selecione Propriedades.
- Siga o procedimento descrito na etapa 2 para delegar a conta do serviço IIS do Web Studio aos serviços HOST e HTTP do Delivery Controller.
Os resultados da configuração são mostrados na captura de tela a seguir.
Etapa 6: habilitar a autenticação de cartão inteligente para o Web Studio
Siga estas etapas para ativar a autenticação de cartão inteligente para o Web Studio:
- Entre no Web Studio e selecione Configurações no painel esquerdo.
- Selecione Autenticação de cartão inteligente ou Credenciais de domínio + Autenticação de cartão inteligente conforme necessário.
- Selecione Autenticação de cartão inteligente ou Credenciais de domínio ou Autenticação de cartão inteligente conforme necessário.
-
Clique em Aplicar.
Neste artigo
- Etapa 1: instalar o driver do cartão inteligente
- Etapa 2: emitir certificados para usuários de cartões inteligentes
- Etapa 3: inscrever certificados para usuários de cartões inteligentes
- Etapa 4: configurar servidores IIS do Web Studio
- Etapa 5 (opcional): configurar delegações de autenticação para o Web Studio
- Etapa 6: habilitar a autenticação de cartão inteligente para o Web Studio