Einrichten der zertifikatbasierten Authentifizierung gesamtstrukturübergreifend ohne Vertrauensstellung für einen Webserver

In diesem Artikel wird beschrieben, wie Sie einen Webserver für die Verwendung von Smartcards für die gesamtstrukturübergreifende zertifikatbasierte Authentifizierung einrichten, wenn die Benutzer- und ressourcenbasierte Gesamtstruktur sich nicht vertrauen.

Ursprüngliche Produktversion:   Windows Server 2016
Ursprüngliche KB-Nummer:   4509680

Umgebungskonfiguration

Stellen Sie sich eine Umgebung vor, in der die folgende Konfiguration verwendet wird:

  • Eine Benutzer-Gesamtstruktur mit dem Namen Contoso.com .
  • Eine Ressourcen-Gesamtstruktur mit dem Namen Fabrikam.com . Die Gesamtstruktur wurde Tailspintoys.com als alternativer Benutzerprinzipalname (User Principal Name, UPN) hinzugefügt.
  • Zwischen den beiden Gesamtstrukturen besteht keine Vertrauensstellung.
  • Benutzer smartcards use certificates that have Subject Alternative Name (SAN) entries of the format user@tailspintoys.com .
  • Ein IIS-Webserver, der für die zertifikatbasierte Active Directory-Authentifizierung konfiguriert ist.

Konfigurieren Sie Active Directory und den Webserver wie in den folgenden Verfahren beschrieben.

Konfigurieren von Active Directory

Führen Sie die folgenden Schritte aus, um die Ressourcen gesamtstruktur für die Authentifizierung von Smartcards zu konfigurieren:

  1. Stellen Sie sicher, dass ein Kerberos-Authentifizierungszertifikat mit einer erweiterten Schlüsselverwendung (Extended Key Usage, EKU) für die KDC-Authentifizierung für die Domänencontroller ausgestellt wurde.

  2. Stellen Sie sicher, dass das Zertifikat der ausstellenden Zertifizierungsstelle des Benutzers im Enterprise -NTAUTH-Speicher installiert ist.

    Führen Sie den folgenden Befehl an einer Eingabeaufforderung aus, um das Zertifikat der ausstellenden Zertifizierungsstelle in der Domäne zu veröffentlichen:

    certutil -dspublish -f <filename> NTAUTHCA
    

    Stellt in diesem Befehl den Namen der Zertifikatsdatei der Zertifizierungsstelle <filename> mit der Erweiterung CER dar.

  3. Benutzer müssen über Konten verfügen, die den alternativen UPN der Ressourcen gesamtstruktur verwenden.

    Screenshot des Dialogfelds &quot;Benutzereigenschaften&quot;.

Führen Sie die folgenden Schritte aus, um die Benutzer gesamtstruktur zu konfigurieren:

  1. Stellen Sie sicher, dass die Smartcardanmeldung und die Clientauthentifizierungs-EKU im Zertifikat definiert sind.

  2. Stellen Sie sicher, dass der SAN des Zertifikats den UPN des Benutzers verwendet.

    Screenshot des SAN des Zertifikats.

  3. Stellen Sie sicher, dass Sie das Zertifikat der ausstellenden Zertifizierungsstelle des Benutzerzertifikats im Unternehmens-NTAUTH-Speicher installieren.

    Hinweis

    Wenn Sie die Delegierung auf dem Front-End-Server einrichten oder die Verwendung des UPN im Attribut "SAN" des Zertifikats (AltSecID-Route) überspringen möchten, lesen Sie den Abschnitt "Weitere Informationen".

Konfigurieren des Webservers

Führen Sie die folgenden Schritte aus, um den IIS-Webserver in der Ressourcenfarm zu konfigurieren:

  1. Installieren Sie die IIS-Webserverrolle, und wählen Sie das Feature "Sicherheit der Clientzertifikatzuordnungsauthentifizierung" aus.

    Screenshot der Installation der IIS-Webserverrolle.

  2. Aktivieren Sie auf dem IIS-Webserver die Active Directory-Clientzertifikatauthentifizierung.

    Screenshot der Aktivierung der Active Directory-Clientzertifikatauthentifizierung.

  3. Konfigurieren Sie auf Ihrer Website die SSL-Einstellungen so, dass SSL erforderlich ist, und wählen Sie dann unter "Clientzertifikate" die Option "Erforderlich" aus.

    Screenshot der Einstellung &quot;Erforderlicher SSL&quot;.

    Stellen Sie sicher, dass kein anderer Authentifizierungstyp auf der Website aktiviert ist. Es wird nicht empfohlen, die zertifikatbasierte Authentifizierung mit einem anderen Authentifizierungstyp zu aktivieren, da der DS Mapper-Dienst, der für die Zuordnung des vom Benutzer präsentierten Zertifikats zum Benutzerkonto in Active Directory zuständig ist, nur für die Verwendung mit dem Active Directory-Clientzertifikatauthentifizierungstyp konzipiert ist. Wenn Sie die anonyme Authentifizierung aktivieren, kann es zu unerwarteten Ergebnissen kommen.

    Screenshot anderer Authentifizierungstypen.

Weitere Informationen

Wenn Sie die Delegierung auf diesem Ressourcenwebserver so einrichten möchten, dass ein Back-End-Server wie z. B. ein Datenbankserver oder eine Zertifizierungsstelle abgefragt wird, können Sie die eingeschränkte Delegierung auch mithilfe eines benutzerdefinierten Dienstkontos konfigurieren. Darüber hinaus müssen Sie den Webserver für die eingeschränkte Delegierung (S4U2Self) oder den Protokollübergang einrichten. Weitere Informationen finden Sie unter Konfigurieren der eingeschränkten Kerberos-Delegierung für Webregistrierungsproxyseiten.

Wenn Sie den UPN im Attribut "SAN" des Smartcardzertifikats des Benutzers überspringen möchten, müssen Sie entweder explizit mithilfe von AltSecID-Attributenzuordnungen oder Namenshinweise verwenden.

Hinweis

Wir raten von dieser Vorgehensweise zum Konfigurieren von Smartcardzertifikaten ab.

Wenn Sie das Attribut SAN als beabsichtigten UPN im Zertifikat des Benutzers veröffentlichen, sollten Sie AltSecID nicht aktivieren.

Öffnen Sie zum Überprüfen des NTAuth-Speichers auf dem Webserver ein Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl aus:

Certutil -viewstore -enterprise NTAUTH

Informationsquellen