为 Web Studio 设置智能卡身份验证

本文概述了为 Web Studio 设置和启用智能卡身份验证所需的步骤:

步骤 1:安装智能卡驱动程序

步骤 2:为智能卡用户颁发证书

步骤 3:为智能卡用户注册证书

步骤 4:配置 Web Studio IIS 服务器

步骤 5(可选)为 Web Studio 配置身份验证委派

步骤 6:为 Web Studio 启用智能卡身份验证

注意:

智能卡身份验证仅支持来自与 Web Studio 服务器相同的 Active Directory 域的用户。

步骤 1:安装智能卡驱动程序

在以下计算机上安装智能卡驱动程序:

  • 安装了证书服务的域控制器。
  • Web Studio 服务器
  • 最终用户用于访问 Web Studio 的计算机
  • 用于为智能卡用户注册证书的计算机

该驱动程序可在 https://support.globalsign.com/ssl/ssl-certificates-installation/safenet-drivers 位置处下载。

步骤 2:为智能卡用户颁发证书

在您的域控制器上,按照以下步骤完成任务:

  1. 访问您的域控制器并打开证书颁发机构

    启动 ca

  2. 复制注册代理模板。详细步骤如下所述:
    1. 右键单击证书模板,然后选择管理

      管理证书模板

    2. 右键单击注册代理,然后选择复制模板

    3. 使用者名称选项卡上,确保未选中 Include e-mail in subject name(在使用者名称中包含电子邮件)。

      证书模板 > 使用者名称

    4. 加密选项卡上,选择 Microsoft Base Smart Card Crypto Provider,然后单击确定。名为 Copy of Enrollment Agent(注册代理的副本)的模板将出现在证书模板列表中。

      证书模板>加密

  3. 验证 Smartcard User(智能卡用户)模板的权限。详细步骤如下所述:
    1. 右键单击证书模板,然后选择管理
    2. 右键单击 Smartcard User(智能卡用户),然后选择 Properties(属性)。
    3. 安全选项卡上,验证域管理员是否选择了以下权限,如下所示:

      证书模板 > 安全性

  4. 为智能卡颁发证书。详细步骤如下所述:
    1. 右键单击证书模板,然后选择新建 > 要颁发的模板
    2. 选择 Copy of Enrollment Agent(注册代理的副本)和 Smartcard User(智能卡用户)。
    3. 单击确定

步骤 3:为智能卡用户注册证书

在加入了域的物理 Windows 计算机上,按照以下步骤为每个智能卡注册证书:

  1. 准备一台加入了域的物理 Windows 计算机以供注册使用:
    1. 确保已安装智能卡驱动程序。
    2. 将智能卡插入计算机。
    3. 使用要分配给智能卡的用户帐户登录计算机。
  2. 证书管理单元添加到您在步骤 1 中准备的计算机中。 详细步骤如下所述:
    1. 打开 mmc
    2. 单击文件,然后单击添加/删除管理单元
    3. 在出现的添加或删除管理单元窗口中,选择证书,然后单击添加 >
    4. 在出现的对话框中,选择我的用户帐户,然后单击完成
    5. 单击确定

      添加证书

  3. 证书管理单元申请新证书 。详细步骤如下所述:
    1. 转至证书 - 当前用户 > 个人,右键单击证书,然后选择所有任务 > 申请新证书

      申请新证书

    2. 在出现的 Request Certificates(请求证书)对话框中,选择 Copy of Enrollment Agent(注册代理的副本)和 Smartcard User(智能卡用户)。

      管理证书模板

    3. 在上面的对话框中,单击 Smartcard User(智能卡用户)的 Details(详细信息),然后单击 Properties(属性)。此时将显示 Certificate Properties(证书属性)对话框。

      申请新证书 > 属性

    4. 私钥选项卡上,展开 Cryptographic Service Provider,取消选中 Microsoft Strong Cryptographic Provider (加密),仅选择 Microsoft Base Smart Card Crypto Provider (加密),然后单击确定
    5. 单击注册
    6. 在出现的 Windows 安全性对话框中,输入智能卡 PIN 码,然后单击确定。注册完成后,单击完成

      注册证书

成功注册后,在证书 - 当前用户 -> 个人 -> 证书下会出现两个证书,如以下屏幕截图中所示。 管理证书模板

步骤 4:配置 Web Studio IIS 服务器

在每台 Web Studio 服务器上,按照以下步骤配置 IIS 以进行智能卡身份验证:

  1. 为 Web Studio 计算机启用客户端证书映射身份验证**。

    <clientCertificateMappingAuthentication> 元素在 IIS 7 及更高版本的默认安装中不可用。有关安装和启用的详细信息,请参阅这篇 Microsoft 文章

  2. 在 Web Studio 计算机上启动 IIS 管理器
  3. 为计算机启用 Active Directory 客户端证书身份验证。详细步骤如下所述:

    1. 在左侧窗格中选择计算机,然后双击身份验证

      IIS > 身份验证

    2. 启用 Active Directory 客户端证书身份验证

      IIS > 启用 AC 客户端证书身份验证

  4. 配置 Web Studio 后端模块,以使用更安全的 HTTPS 协议进行客户端证书身份验证:
    1. 转至站点 > 默认 Web 站点 > Studio > 后端 > 智能卡,然后在 IIS 部分中双击 SSL 设置

      IIS 后端模块智能卡 SSL

    2. 客户端证书选择需要

      需要 IIS 服务器后端智能卡 ssl

    3. 返回到站点 > 默认 Web 站点 > Studio > 后端 > 智能卡,然后在 IIS 部分中双击配置编辑器

      IIS > 配置编辑器

    4. 确保 /clientCertificateMappingAuthentication 设置为 enabled

      启用客户端身份验证

  5. (仅限 Windows 2022)通过 TCP 禁用 TLS 3.1。详细步骤如下所述:

    1. 转至站点 > 默认 Web 站点
    2. 单击编辑站点 > 绑定
    3. 在出现的站点绑定对话框中,选择 https 记录,然后单击编辑

      仅限 Windows 2022 https 编辑

    4. 在出现的 Edit Site Binding(编辑站点绑定)对话框中,选择 Disable TLS 1.3 over TCP(通过 TCP 禁用 TLS 1.3),然后单击确定

      仅限 Windows 2022 https 编辑已禁用

须知:

Web Studio 后端是 Web Studio 中的一个模块,它提供以下功能:

  • 智能卡身份验证。
  • 使用集成 Windows 身份验证从 Orchestration 服务中检索 FMA 持有者令牌。

步骤 5(可选)为 Web Studio 配置身份验证委派

当 Web Studio 和 Delivery Controller 安装在不同的服务器上时,必须为每个 Web Studio 服务器配置到 Delivery Controller 的委派以获取 HOST 和 HTTPS 服务。

请按照以下步骤完成每台 Web Studio 服务器的任务:

  1. 导入 Delivery Controller 调配 HTTPS 证书
  2. 为 Web Studio 服务器配置委派
  3. (可选)为 Web Studio IIS 服务器的服务帐户配置委派

导入 Delivery Controller 调配 HTTPS 证书

在 Web Studio 服务器上,将 Delivery Controller Orchestration HTTPS 证书导入到可信根证书颁发机构。详细步骤如下所述:

  1. 启动设置 > 管理计算机证书
  2. 右键单击可信根证书颁发机构 > 证书,然后选择所有任务 > 导入

    导入 DDC 证书

  3. 按照屏幕上的说明导入 Delivery Controller Orchestration HTTPS 证书。

为 Web Studio 服务器配置委派

在域控制器上,配置 Web Studio 服务器向 Delivery Controller 的委派以获取 HOST 和 HTTP 服务。请按照以下步骤完成任务:

  1. 在域控制器上,启动 Active Directory 管理中心
  2. 找到要为其配置委派的 Web Studio 服务器的计算机帐户(例如 Dan002)。
  3. 右键单击该帐户,选择属性,然后完成以下步骤:

    为 Studio 服务器配置委派

    1. 转到委派选项卡。

      输入委派配置

    2. 选择 Trust this user for delegation to specified services only(仅信任此用户来委派给指定服务)> Use any authentication protocol(使用任何身份验证协议)
    3. 单击添加以指定可以将此计算机帐户委派给哪些服务。
    4. 在出现的添加服务对话框中,单击添加用户或计算机以找到 Delivery Controller 的计算机名称(例如 Dan001)。
    5. 选择 HOSTHTTP 服务,然后单击确定

配置结果显示在以下屏幕截图中。 管理证书模板

(可选)为 Web Studio IIS 服务器的服务帐户配置委派

如果您已为 Web Studio IIS 服务器配置了服务帐户,还需要配置此服务帐户到 Delivery Controller 的委派以获取 HOST 和 HTTP 服务。建立此委派后,Web Studio 服务器可以使用其服务帐户来模拟当前智能卡用户访问 Delivery Controller 以获取 HOST 和 HTTP 服务。请按照以下步骤完成配置:

  1. 在域控制器上,启动 Active Directory 管理中心
  2. 找到要为其配置委派的 Web Studio IIS 服务器(服务帐户)的用户帐户(例如 svr-stud-002)。
  3. 右键单击帐户并选择属性
  4. 按照配置 Web Studio 服务器的委派的步骤 3 中描述的步骤,将 Web Studio IIS 服务器的服务帐户委派给 Delivery Controller 以获取 HOST 和 HTTP 服务。

配置结果显示在以下屏幕截图中。

管理证书模板

步骤 6:为 Web Studio 启用智能卡身份验证

请按照以下步骤为 Web Studio 启用智能卡身份验证:

  1. 登录 Web Studio 并在左侧窗格中选择设置
  2. 根据需要选择智能卡身份验证域凭据或智能卡身份验证
  3. 单击应用

    管理证书模板