Vous devez au moins être membre du groupe Administrateurs (ou un groupe équivalent) pour effectuer cette procédure.
Pour ajouter le service de rôle Authentification du mappage de certificat client
Ouvrez le Gestionnaire de serveur. Cliquez sur Démarrer, pointez sur Outils d'administration, puis cliquez sur Gestionnaire de serveur.
Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, vérifiez que l'action affichée correspond à l'action demandée, puis cliquez sur Oui.
Développez Rôles, puis cliquez sur Serveur Web (IIS).
Dans le volet des résultats sous Services de rôle, cliquez sur Ajouter des services de rôle.
Activez la case à cocher Authentification du mappage de certificat client, puis cliquez sur Suivant.
Cliquez sur Installer.
Lorsque le service de rôle est ajouté, cliquez sur Fermer.
Configurez ensuite la méthode d’authentification dans IIS :
Pour configurer la méthode d’authentification dans IIS
Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).
Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, vérifiez que l'action affichée correspond à l'action demandée, puis cliquez sur Oui.
Dans l’arborescence de la console, développez le nom du serveur.
Dans le volet des résultats de la page d’accueil du serveur, double-cliquez sur Authentification pour ouvrir la page Authentification.
Dans le volet des résultats de la page Authentification, cliquez avec le bouton droit sur Authentification du certificat client AD, puis cliquez sur Activer.
Fermez le Gestionnaire des services Internet (IIS).
Activez enfin l’authentification des clients pour le site Web qui héberge AD RMS:
Pour activer l’authentification des clients sur un site Web hébergeant AD RMS
Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire des services Internet (IIS).
Si la boîte de dialogue Contrôle de compte d'utilisateur apparaît, vérifiez que l'action affichée correspond à l'action demandée, puis cliquez sur Oui.
Dans l’arborescence de la console, développez le nom du serveur.
Développez Sites, puis le site Web qui héberge AD RMS. Par défaut, le nom du site Web est Site Web par défaut.
Dans l’arborescence de la console, développez _wmcs, cliquez avec le bouton droit sur le répertoire virtuel de certification (pour prendre en charge les Certificat de comptes RM) ou le répertoire virtuel des licences (pour prendre en charge les licences d’utilisation), puis cliquez sur Basculer vers l’affichage Contenu.
Dans le volet des résultats de l’Affichage Contenu, cliquez avec le bouton droit sur certification.asmx ou license.asmx comme il convient, puis choisissez Basculer vers l’affichage Fonctionnalités.
Dans le volet des résultats sur la page d’accueil, double-cliquez sur Paramètres SSL.
Choisissez le paramètre de certificats client approprié (Accepter ou Requérir). Vous devez accepter les certificats clients si vous voulez que les clients puissent fournir leurs informations d’authentification, soit à l’aide d’un certificat de carte à puce, soit en indiquant leur nom d’utilisateur et un mot de passe. Vous devez requérir des certificats clients si vous voulez que seuls les clients avec des certificats clients, comme des cartes à puce, puissent se connecter au service.
Cliquez sur Appliquer.
Si vous voulez utiliser l’authentification des clients pour la certification et l’octroi de licences, répétez cette procédure mais sélectionnez cette fois le répertoire virtuel secondaire.
Fermez le Gestionnaire des services Internet (IIS).
Répétez les étapes 1 à 10 pour chaque serveur dans le cluster AD RMS.
Vous devez ensuite faire en sorte que la méthode d’authentification utilise l’authentification par mappage de certificat client pour le cluster AD RMS.
Pour appliquer la méthode d’authentification des clients dans le fichier applicationhost.config
Pour ouvrir une fenêtre d'invite de commandes, cliquez sur Démarrer, pointez sur Tous les programmes, cliquez sur Accessoires, cliquez avec le bouton droit sur Invite de commandes, puis cliquez sur Exécuter en tant qu'administrateur.
Accédez à %windir%\system32\inetsrv\config.
Tapez notepad applicationhost.config, puis appuyez sur Entrée.
Attention Créez une copie de sauvegarde de ce fichier avant de le modifier. Accédez à la section similaire à la section <chemin d’accès="site Web par défaut/_wmcs/certification/certification.asmx"> du fichier applicationhost.config.
Remarques L’emplacement du fichier ci-dessus dépend du fichier ou du répertoire virtuel auquel vous tentez d’appliquer le mappage de certificat client. Si vous voulez autoriser l’authentification par carte à puce en plus de l’authentification Windows, procédez comme suit :
-
Modifiez :
<access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />
Pour :
<access sslFlags="Ssl, SslNegotiateCert, Ssl128" />
-
Ajoutez une nouvelle ligne sous <windowsAuthentication enabled="true" />, puis tapez :
<clientCertificateMappingAuthentication enabled="true" />
-
Modifiez :
Si vous ne voulez autoriser que l’authentification par carte à puce, procédez comme suit. Assurez-vous que l’authentification client SSL avec les services Internet (IIS) est requise.
-
Ajoutez une nouvelle ligne sous <windowsAuthentication enabled="true" />, puis tapez :
<clientCertificateMappingAuthentication enabled="true" />
-
Modifiez :
<windowsAuthentication enabled="true" />
Pour :
<windowsAuthentication enabled="false" />
-
Cliquez sur Fichier, puis sur Enregistrer et fermez le Bloc-notes.
-
Dans la fenêtre d’invite de commandes, tapez iisreset, puis appuyez sur Entrée.
Attention Exécuter iisreset depuis une invite de commandes permet de redémarrer les services associés aux services Internet (IIS). -
Ajoutez une nouvelle ligne sous <windowsAuthentication enabled="true" />, puis tapez :
Répétez les étapes 1 à 5 pour chaque serveur dans le cluster AD RMS.
Une fois que ces paramètres sont configurés, un utilisateur qui tente d’ouvrir un contenu protégé par des droits publié par ce cluster AD RMS est invité à fournir des informations d’authentification pour que le cluster lui fournisse des Certificat de comptes RM ou une licence d’utilisation.