Pokud v organizaci používáte čipové karty ke zvýšení zabezpečení a řízení pověření uživatele, mohou uživatelé použít tyto čipové karty s ověřovacím pověřením k získání certifikátů certifikáty RAC a licencí od serverů v clusteru služby AD RMS.

Poznámka

Tento postup předpokládá, že již byl nainstalován certifikát SSL (Secure Sockets Layer). Další informace o přidání certifikátu SSL naleznete v tématu Import certifikátu SSL pomocí Správce Internetové informační služby (IIS).

Členství v místní skupině Administrators či ekvivalentních skupinách je minimálním předpokladem pro dokončení tohoto postupu.

Přidání služby rolí Ověřování pomocí mapování certifikátu klienta

  1. Spusťte Správce serveru. Klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a klikněte na příkaz Správce serveru.

  2. Jestliže se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte, zda zobrazuje požadovanou akci, a potom klikněte na tlačítko Ano.

  3. Rozbalte položku Role a klikněte na položku Webový server (IIS).

  4. V podokně výsledků klikněte v části Služby rolí na možnost Přidat služby rolí.

  5. Zaškrtněte políčko Ověřování pomocí mapování certifikátu klienta a klikněte na tlačítko Další.

  6. Klikněte na tlačítko Nainstalovat.

  7. Po přidání služby rolí klikněte na tlačítko Zavřít.

Dále nakonfigurujte metodu ověřování ve službě IIS:

Konfigurace metody ověřování ve službě IIS

  1. Klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a poté klikněte na položku Správce Internetové informační služby.

  2. Jestliže se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte, zda zobrazuje požadovanou akci, a potom klikněte na tlačítko Ano.

  3. Ve stromu konzoly rozbalte název serveru.

  4. V podokně výsledků na domovské stránce serveru dvakrát klikněte na položku Ověřování, tím otevřete stránku Ověřování.

  5. V podokně výsledků na stránce Ověřování klikněte pravým tlačítkem myši na položku Ověřování certifikátu klienta AD a klikněte na příkaz Povolit.

  6. Ukončete Správce Internetové informační služby.

Nakonec povolte ověřování klienta pro webový server, který hostuje službu AD RMS:

Povolení ověřování klienta na webovém serveru hostujícím službu AD RMS

  1. Klikněte na tlačítko Start, přejděte na položku Nástroje pro správu a poté klikněte na položku Správce Internetové informační služby.

  2. Jestliže se zobrazí dialogové okno Řízení uživatelských účtů, potvrďte, zda zobrazuje požadovanou akci, a potom klikněte na tlačítko Ano.

  3. Ve stromu konzoly rozbalte název serveru.

  4. Rozbalte položku Servery a potom rozbalte web hostující službu AD RMS. Ve výchozím nastavení je název webového serveru Výchozí webový server.

  5. Ve stromu konzoly rozbalte položku _wmcs, klikněte pravým tlačítkem myši na virtuální adresář certifikace (pro podporu certifikátů RAC) nebo na virtuální adresář licencování (pro podporu licencí) a klikněte na možnost Přepnout na zobrazení obsahu.

  6. V podokně výsledků Zobrazení obsahu klikněte pravým tlačítkem myši na položku certification.asmx nebo license.asmx a klikněte na možnost Přepnout na zobrazení funkcí.

  7. V podokně výsledků na domovské stránce dvakrát klikněte na možnost Nastavení SSL.

  8. Zvolte odpovídající nastavení v poli Klientské certifikáty (Přijmout nebo Požadovat). Klientské certifikáty byste měli přijmout, pokud chcete, aby klienti měli možnost zadat ověřovací pověření pomocí certifikátu čipové karty nebo uživatelského jména a hesla. Klientské certifikáty byste měli požadovat, pokud chcete, aby se ke službě připojili pouze klienti s certifikáty od klienta, například čipové karty.

  9. Klikněte na tlačítko Použít.

  10. Jestliže chcete použít ověřování klientů pro certifikaci i licencování, opakujte tento postup, ale vyberte druhý virtuální adresář.

  11. Ukončete Správce Internetové informační služby.

  12. Kroky 1-10 zopakujte pro každý server v clusteru služby AD RMS.

Dále je nutné zadat, aby metoda ověřování používala pro cluster služby AD RMS ověřování pomocí mapování certifikátu klienta.

Zadání metody ověřování klienta v souboru applicationhost.config

  1. Chcete-li otevřít zvýšené okno příkazového řádku, klikněte na tlačítko Start, přejděte na příkaz Všechny programy, klikněte na položku Příslušenství, pravým tlačítkem myši klikněte na položku Příkazový řádek a poté klikněte na příkaz Spustit jako správce.

  2. Přejděte do umístění %windir%\system32\inetsrv\config.

  3. Zadejte notepad applicationhost.config a stiskněte klávesu ENTER.

    Upozornění

    Před provedením změn byste měli vytvořit záložní kopii tohoto souboru.

  4. Přejděte do části <location path="Default Web Site/_wmcs/certification/certification.asmx"> souboru applicationhost.config.

    Poznámka

    Umístění výše uvedeného souboru závisí na souboru nebo virtuálním adresáři, kde chcete zadat mapování certifikátu klienta.

  5. Jestliže chcete povolit ověřování pomocí čipové karty kromě ověřování v systému Windows, postupujte následujícím způsobem:

    1. Změňte hodnotu:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      na hodnotu:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Do části <windowsAuthentication enabled="true" /> přidejte nový řádek a zadejte:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Pokud chcete povolit pouze ověřování pomocí čipové karty, postupujte následujícím způsobem: Přesvědčte se, zda je požadováno ověřování klienta SSL pomocí Internetové informační služby.

    1. Do části <windowsAuthentication enabled="true" /> přidejte nový řádek a zadejte:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Změňte hodnotu:

      <windowsAuthentication enabled="true" />

      na hodnotu:

      <windowsAuthentication enabled="false" />

    3. Klikněte na nabídku Soubor a na příkaz Uložit a zavřete program Poznámkový blok.

    4. V okně příkazového řádku zadejte příkaz iisreset a stiskněte klávesu ENTER.

    Upozornění

    Po spuštění příkazu iisreset z příkazového řádku jsou restartovány služby spojené s Internetovou informační službou.

  7. Kroky 1 - 5 zopakujte pro každý server v clusteru služby AD RMS.

Po konfiguraci tohoto nastavení se uživateli, který se pokusí o otevření obsahu chráněného na základě oprávnění publikovaného tímto clusterem služby AD RMS, zobrazí výzva k zadání ověřovacích pověření, teprve potom poskytne cluster uživateli certifikát RAC nebo licenci.

Další informace

Obsah