为 Web Studio 设置智能卡身份验证

本文概述了为 Web Studio 设置和启用智能卡身份验证所需的步骤:

步骤 1:安装智能卡驱动程序

步骤 2:为智能卡用户颁发证书

步骤 3:为智能卡用户注册证书

步骤 4:配置 Web Studio IIS 服务器

步骤 5(可选)为 Web Studio 配置身份验证委派

步骤 6:为 Web Studio 启用智能卡身份验证

注意:

智能卡身份验证仅支持来自与 Web Studio 服务器相同的 Active Directory 域的用户。

步骤 1:安装智能卡驱动程序

在以下计算机上安装智能卡驱动程序:

  • 安装了证书服务的域控制器。
  • Web Studio 服务器
  • 最终用户用于访问 Web Studio 的计算机
  • 用于为智能卡用户注册证书的计算机

该驱动程序可在 https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers 位置处下载。

步骤 2:为智能卡用户颁发证书

在您的域控制器上,按照以下步骤完成任务:

  1. 访问您的域控制器并打开证书颁发机构

    启动 ca

  2. 复制注册代理模板。详细步骤如下所述:
    1. 右键单击证书模板,然后选择管理

      管理证书模板

    2. 右键单击注册代理,然后选择复制模板
    3. 加密选项卡上,选择 Microsoft Base Smart Card Crypto Provider,然后单击确定。名为 Copy of Enrollment Agent(注册代理的副本)的模板将出现在证书模板列表中。

      证书模板>加密

    4. 使用者名称选项卡上,确保未选中 Include e-mail in subject name(在使用者名称中包含电子邮件)。

      证书模板 > 使用者名称

  3. 验证 Smartcard User(智能卡用户)模板的权限。详细步骤如下所述:
    1. 右键单击证书模板,然后选择管理
    2. 右键单击 Smartcard User(智能卡用户),然后选择 Properties(属性)。
    3. 安全选项卡上,验证域管理员是否选择了以下权限,如下所示:

      证书模板 > 安全性

  4. 为智能卡颁发证书。详细步骤如下所述:
    1. 右键单击证书模板,然后选择新建 > 要颁发的模板
    2. 选择 Copy of Enrollment Agent(注册代理的副本)和 Smartcard User(智能卡用户)。
    3. 单击确定

步骤 3:为智能卡用户注册证书

在加入了域的物理 Windows 计算机上,按照以下步骤为每个智能卡注册证书:

  1. 准备一台加入了域的物理 Windows 计算机以供注册使用:
    1. 确保已安装智能卡驱动程序。
    2. 将智能卡插入计算机。
    3. 使用要分配给智能卡的用户帐户登录计算机。
  2. 证书管理单元添加到您在步骤 1 中准备的计算机中。 详细步骤如下所述:
    1. 打开 mmc
    2. 单击文件,然后单击添加/删除管理单元
    3. 在出现的添加或删除管理单元窗口中,选择证书,然后单击添加 >
    4. 在出现的对话框中,选择我的用户帐户,然后单击完成
    5. 单击确定

      添加证书

  3. 证书管理单元申请新证书 。详细步骤如下所述:
    1. 转至证书 - 当前用户 > 个人,右键单击证书,然后选择所有任务 > 申请新证书

      !申请新证书

    2. 在出现的 Request Certificates(请求证书)对话框中,选择 Copy of Enrollment Agent(注册代理的副本)和 Smartcard User(智能卡用户)。

      管理证书模板

    3. 在上面的对话框中,单击 Smartcard User(智能卡用户)的 Details(详细信息),然后单击 Properties(属性)。此时将显示 Certificate Properties(证书属性)对话框。 申请新证书 > 属性
    4. 私钥选项卡上,展开 Cryptographic Service Provider,取消选中 Microsoft Strong Cryptographic Provider (加密),仅选择 Microsoft Base Smart Card Crypto Provider (加密),然后单击确定
    5. 单击注册
    6. 在出现的 Windows 安全性对话框中,输入智能卡 PIN 码,然后单击确定。注册完成后,单击完成注册证书

成功注册后,在证书 - 当前用户 -> 个人 -> 证书下会出现两个证书,如以下屏幕截图中所示。 管理证书模板

步骤 4:配置 Web Studio IIS 服务器

在每台 Web Studio 服务器上,按照以下步骤配置 IIS 以进行智能卡身份验证:

  1. 为 Web Studio 计算机启用客户端证书映射身份验证**。

    <clientCertificateMappingAuthentication> 元素在 IIS 7 及更高版本的默认安装中不可用。有关安装和启用的详细信息,请参阅这篇 Microsoft 文章

  2. 在 Web Studio 计算机上启动 IIS 管理器
  3. 为计算机启用 Active Directory 客户端证书身份验证。详细步骤如下所述:

    1. 在左侧窗格中选择计算机,然后双击身份验证

      IIS > 身份验证

    2. 启用 Active Directory 客户端证书身份验证

      IIS > 启用 AC 客户端证书身份验证

  4. 配置 Web Studio 后端模块,以使用更安全的 HTTPS 协议进行客户端证书身份验证:
    1. 转至站点 > 默认 Web 站点 > Studio > 后端 > 智能卡,然后在 IIS 部分中双击 SSL 设置

      IIS 后端模块智能卡 SSL

    2. 客户端证书选择需要

      需要 IIS 服务器后端智能卡 ssl

    3. 返回到站点 > 默认 Web 站点 > Studio > 后端 > 智能卡,然后在 IIS 部分中双击配置编辑器

      IIS > 配置编辑器

    4. 确保 /clientCertificateMappingAuthentication 设置为 enabled

      启用客户端身份验证

  5. (仅限 Windows 2022)通过 TCP 禁用 TLS 3.1。详细步骤如下所述:

    1. 转至站点 > 默认 Web 站点
    2. 单击编辑站点 > 绑定
    3. 在出现的站点绑定对话框中,选择 https 记录,然后单击编辑

      仅限 Windows 2022 https 编辑

    4. 在出现的 Edit Site Binding(编辑站点绑定)对话框中,选择 Disable TLS 1.3 over TCP(通过 TCP 禁用 TLS 1.3),然后单击确定

      仅限 Windows 2022 https 编辑已禁用

须知:

Web Studio 后端是 Web Studio 中的一个模块,它提供以下功能:

  • 智能卡身份验证。
  • 使用集成 Windows 身份验证从 Orchestration 服务中检索 FMA 持有者令牌。

步骤 5(可选)为 Web Studio 配置身份验证委派

当 Web Studio 和 Delivery Controller 安装在不同的服务器上时,必须为每个 Web Studio 服务器配置到 Delivery Controller 的委派以获取 HOST 和 HTTPS 服务。

请按照以下步骤完成每台 Web Studio 服务器的任务:

  1. 导入 Delivery Controller 调配 HTTPS 证书
  2. 为 Web Studio 服务器配置委派
  3. 为 Web Studio IIS 服务器的服务帐户配置委派

导入 Delivery Controller 调配 HTTPS 证书

在 Web Studio 服务器上,将 Delivery Controller Orchestration HTTPS 证书导入到可信根证书颁发机构。详细步骤如下所述:

  1. 启动设置 > 管理计算机证书
  2. 右键单击可信根证书颁发机构 > 证书,然后选择所有任务 > 导入

    导入 DDC 证书

  3. 按照屏幕上的说明导入 Delivery Controller Orchestration HTTPS 证书。

为 Web Studio 服务器配置委派

在域控制器上,配置 Web Studio 服务器向 Delivery Controller 的委派以获取 HOST 和 HTTP 服务。请按照以下步骤完成任务:

  1. 在域控制器上,启动 Active Directory 管理中心
  2. 找到要配置为进行委派的 Web Studio 服务器的计算机帐户(例如 Dan002)。
  3. 右键单击帐户并选择属性

    为 Studio 服务器配置委派

    1. 转到委派选项卡。

      !输入委派配置

    2. 选择 Trust this user for delegation to specified services only(仅信任此用户来委派给指定服务)> Use any authentication protocol(使用任何身份验证协议)
    3. 单击添加以指定可以将此计算机帐户委派给哪些服务。
    4. 在出现的添加服务对话框中,单击添加用户或计算机以找到 Delivery Controller 的计算机名称(例如 Dan001)。
    5. 选择 HOSTHTTP 服务,然后单击确定

配置结果显示在以下屏幕截图中。 管理证书模板

为 Web Studio IIS 服务器的服务帐户配置委派

如果您已为 Web Studio IIS 服务器配置了服务帐户,还需要配置此服务帐户到 Delivery Controller 的委派以获取 HOST 和 HTTP 服务。建立此委派后,Web Studio 服务器可以使用其服务帐户来模拟当前智能卡用户访问交付组 HOST 和 HTTP 服务。请按照以下步骤完成配置:

  1. 在域控制器上,启动 Active Directory 管理中心
  2. 找到要配置为进行委派的用户帐户(例如,svr-stud-002)。
  3. 右键单击帐户并选择属性
  4. 按照步骤 2 中描述的步骤将 Web Studio IIS 服务帐户委派给 Delivery Controller 的 HOST 和 HTTP 服务。

配置结果显示在以下屏幕截图中。

管理证书模板

步骤 6:为 Web Studio 启用智能卡身份验证

请按照以下步骤为 Web Studio 启用智能卡身份验证:

  1. 登录 Web Studio 并在左侧窗格中选择设置
  2. 根据需要选择智能卡身份验证域凭据 + 智能卡身份验证
  3. 根据需要选择智能卡身份验证域凭据或智能卡身份验证
  4. 单击应用

    管理证书模板