Einrichten der zertifikatbasierten Authentifizierung über Gesamtstrukturen hinweg ohne Vertrauensstellung für einen Webserver

  • Artikel

In diesem Artikel wird beschrieben, wie Sie einen Webserver für die Verwendung von Smartcards für die gesamtstrukturübergreifende zertifikatbasierte Authentifizierung einrichten, wenn die Benutzergesamtstrukturen und die Ressourcengesamtstruktur einander nicht vertrauen.

Gilt für: Windows Server 2016
Ursprüngliche KB-Nummer: 4509680

Umgebungskonfiguration

Stellen Sie sich eine Umgebung vor, die die folgende Konfiguration verwendet:

  • Eine Benutzergesamtstruktur mit dem Namen Contoso.com.
  • Eine Ressourcengesamtstruktur mit dem Namen Fabrikam.com. Die Gesamtstruktur wurde Tailspintoys.com als alternativer Benutzerprinzipalname (UPN) hinzugefügt.
  • Es besteht keine Vertrauensstellung zwischen den beiden Gesamtstrukturen.
  • Benutzer-Smartcards verwenden Zertifikate mit SAN-Einträgen (Subject Alternative Name) im Format user@tailspintoys.com.
  • Ein IIS-Webserver, der für die zertifikatbasierte Active Directory-Authentifizierung konfiguriert ist.

Konfigurieren Sie Active Directory und den Webserver wie in den folgenden Verfahren beschrieben.

Konfigurieren von Active Directory

Führen Sie die folgenden Schritte aus, um die Ressourcengesamtstruktur für die Authentifizierung von Smartcards zu konfigurieren:

  1. Stellen Sie sicher, dass ein Kerberos-Authentifizierungszertifikat mit einer erweiterten Schlüsselverwendung für die KDC-Authentifizierung (EKU) für die Domänencontroller ausgestellt wurde.

  2. Stellen Sie sicher, dass das ausstellende Zertifizierungsstellenzertifikat des Zertifikats des Benutzers im NTAUTH-Speicher für Unternehmen installiert ist.

    Um das Zertifikat der ausstellenden Zertifizierungsstelle in der Domäne zu veröffentlichen, führen Sie den folgenden Befehl an einer Eingabeaufforderung aus:

    certutil -dspublish -f <filename> NTAUTHCA

    In diesem Befehl <stellt filename> den Namen der Zertifizierungsstellenzertifikatdatei dar, die über eine .cer Erweiterung verfügt.

  3. Benutzer müssen über Konten verfügen, die den alternativen UPN der Ressourcengesamtstruktur verwenden.

    Legen Sie auf der Registerkarte Konto des Dialogfelds Benutzereigenschaften fest, dass das Benutzerkonto die alternative U P N der Ressourcengesamtstruktur verwendet.

Führen Sie die folgenden Schritte aus, um die Benutzergesamtstruktur zu konfigurieren:

  1. Stellen Sie sicher, dass Smartcardanmeldung und Clientauthentifizierungs-EKU im Zertifikat definiert sind.

  2. Stellen Sie sicher, dass das SAN des Zertifikats den UPN des Benutzers verwendet.

    Die S A N des Zertifikats verwendet die U PN des Benutzers.

  3. Stellen Sie sicher, dass Sie das ausstellende Zertifizierungsstellenzertifikat des Benutzerzertifikats im NTAUTH-Speicher für Unternehmen installieren.

    Hinweis

    Wenn Sie die Delegierung auf dem Front-End-Server einrichten oder die Verwendung des UPN im SAN-Attribut des Zertifikats (AltSecID-Route) überspringen möchten, lesen Sie den Abschnitt Weitere Informationen.

Konfigurieren des Webservers

Führen Sie die folgenden Schritte aus, um den IIS-Webserver in der Ressourcengesamtstruktur zu konfigurieren:

  1. Installieren Sie die IIS-Webserverrolle, und wählen Sie das Feature Clientzertifikatzuordnung Authentifizierungssicherheit aus.

    Wählen Sie das Feature Clientzertifikatzuordnung Authentifizierungssicherheit in der I ISS-Webserverrolle aus.

  2. Aktivieren Sie auf dem IIS-Webserver die Active Directory-Clientzertifikatauthentifizierung.

    Aktivieren der Active Directory-Clientzertifikatauthentifizierung

  3. Konfigurieren Sie auf Ihrer Website SSL-Einstellungen für SSL erforderlich , und wählen Sie dann unter Clientzertifikatedie Option Erforderlich aus.

    Einstellung Erforderliches SSL für Ihre Standardwebsite.

    Stellen Sie sicher, dass kein anderer Authentifizierungstyp auf der Website aktiviert ist. Es wird nicht empfohlen, die zertifikatbasierte Authentifizierung mit einem anderen Authentifizierungstyp zu aktivieren, da der DS Mapper-Dienst, der für die Zuordnung des angezeigten Zertifikats des Benutzers zum Benutzerkonto in Active Directory zuständig ist, nur für die Verwendung des Active Directory-Clientzertifikatauthentifizierungstyps konzipiert ist. Wenn Sie die anonyme Authentifizierung aktivieren, können unerwartete Ergebnisse auftreten.

    Stellen Sie sicher, dass andere Authentifizierungstypen auf der Website deaktiviert sind.

Weitere Informationen

Wenn Sie die Delegierung auf diesem Ressourcenwebserver einrichten möchten, um einen Back-End-Server abzufragen, z. B. einen Datenbankserver oder eine Zertifizierungsstelle, können Sie auch die eingeschränkte Delegierung mithilfe eines benutzerdefinierten Dienstkontos konfigurieren. Darüber hinaus müssen Sie den Webserver für die eingeschränkte Delegierung (S4U2Self) oder den Protokollübergang einrichten. Weitere Informationen finden Sie unter Konfigurieren der eingeschränkten Kerberos-Delegierung für Webregistrierungsproxyseiten.

Wenn Sie den UPN im SAN-Attribut des Smart Karte-Zertifikats des Benutzers überspringen möchten, müssen Sie entweder eine explizite Zuordnung mithilfe von AltSecID-Attributen oder Namenshinweise verwenden.

Hinweis

Es wird davon abgeraten, diesen Ansatz zum Konfigurieren von Smart Karte-Zertifikaten zu konfigurieren.

Wenn Sie das SAN-Attribut als beabsichtigten UPN im Zertifikat des Benutzers veröffentlichen, sollten Sie AltSecID nicht aktivieren.

Um den NTAuth-Speicher auf dem Webserver zu überprüfen, öffnen Sie ein Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl aus:

Certutil -viewstore -enterprise NTAUTH

References