Ha egy szervezetben intelligens kártyákat használnak a biztonság fokozására és a felhasználók hitelesítő adatainak kezelésére, a felhasználók ezeket a hitelesítő adatokkal ellátott intelligens kártyákat most már jogkezelési fióktanúsítványok (RAC) és használati licencek AD RMS-fürt kiszolgálóitól való beszerzésére is felhasználhatják.

Megjegyzés

Az alábbi eljárás lépései azt feltételezik, hogy egy SSL-tanúsítvány már telepítve van. További információk az SSL-tanúsítványok hozzáadásáról: SSL-tanúsítvány importálása az Internet Information Services (IIS) kezelőprogramjával.

A tagság a Rendszergazdák vagy ennek megfelelő csoportban minimális követelmény a művelet elvégzéséhez.

Az Ügyféltanúsítvány-hozzárendeléses hitelesítés szerepkör-szolgáltatás hozzáadása

  1. Nyissa meg a Kiszolgálókezelő alkalmazást. Kattintson a Start gombra, mutasson az Felügyeleti eszközök pontra, majd kattintson a Kiszolgálókezelő parancsra.

  2. Ha megjelenik A felhasználói fiókok beállítása párbeszédablak, hagyja jóvá az abban megjelenő műveletet, és kattintson az Igen gombra.

  3. Bontsa ki a Szerepkörök csomópontot, majd kattintson a Webkiszolgáló (IIS) elemre.

  4. Az eredményeket tartalmazó ablaktábla Szerepkör-szolgáltatások területén kattintson a Szerepkör-szolgáltatás hozzáadása elemre.

  5. Jelölje be az Ügyféltanúsítvány-hozzárendeléses hitelesítés jelölőnégyzetet, majd kattintson a Tovább gombra.

  6. Kattintson a Telepítés gombra.

  7. A szerepkör-szolgáltatás hozzáadása után kattintson a Bezárás gombra.

Ezután konfigurálja a hitelesítési módszert az IIS szolgáltatásban:

A hitelesítési módszer konfigurálása az IIS szolgáltatásban

  1. Mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Internet Information Services (IIS) kezelője parancsra.

  2. Ha megjelenik A felhasználói fiókok beállítása párbeszédablak, hagyja jóvá az abban megjelenő műveletet, és kattintson az Igen gombra.

  3. A konzolfán bontsa ki a kiszolgáló nevét tartalmazó csomópontot.

  4. A kiszolgáló Kezdőlap ablaktábláján a Hitelesítés lap megnyitásához kattintson duplán a Hitelesítés ikonra.

  5. A Hitelesítés lap eredménypanelén kattintson a jobb gombbal az AD ügyféltanúsítvány-alapú hitelesítés elemre, majd kattintson az Engedélyezés parancsra.

  6. Zárja be az IIS-kezelőt.

Végül engedélyezze az ügyfél-hitelesítést az AD RMS szolgáltatást működtető webhelyen:

Az ügyfél-hitelesítés engedélyezése az AD RMS szolgáltatást működtető webhelyen

  1. Mutasson a Start menü Felügyeleti eszközök pontjára, majd kattintson az Internet Information Services (IIS) kezelője parancsra.

  2. Ha megjelenik A felhasználói fiókok beállítása párbeszédablak, hagyja jóvá az abban megjelenő műveletet, és kattintson az Igen gombra.

  3. A konzolfán bontsa ki a kiszolgáló nevét tartalmazó csomópontot.

  4. Bontsa ki a Helyek csomópontot, majd bontsa ki az AD RMS szolgáltatást működtető webhelyet. A webhely alapértelmezett neve Alapértelmezett webhely.

  5. A konzolfán bontsa ki a _wmcs csomópontot, kattintson a jobb gombbal a certification virtuális könyvtárra (a RAC tanúsítványok támogatásához) vagy a licensing virtuális könyvtárra (a használati licencek támogatásához), majd kattintson a Váltás Tartalom nézetre parancsra.

  6. A Tartalom nézet eredménypanelén kattintson a jobb gombbal a certification.asmx, illetve a license.asmx elemre, majd válassza a Váltás Szolgáltatások nézetre parancsot.

  7. A Kezdőlap eredménypanelén kattintson duplán az SSL-beállítások ikonra.

  8. Az Ügyféltanúsítványok csoportban jelölje be a megfelelő választógombot (Elfogadás vagy Igényelés). Akkor fogadja el az ügyféltanúsítványokat, ha azt szeretné, hogy az ügyfelek hitelesítő adatokat adhassanak meg intelligenskártya-alapú tanúsítvány vagy felhasználónév és jelszó segítségével. Akkor követelje meg az ügyféltanúsítványokat, ha azt szeretné, hogy csak az ügyféloldali tanúsítványokkal, például intelligens kártyával, rendelkező ügyfelek tudjanak csatlakozni a szolgáltatáshoz.

  9. Kattintson az Alkalmaz gombra.

  10. Ha a hitelesítéshez és a licenceléshez is ügyfél-hitelesítést szeretne alkalmazni, ismételje meg a fenti eljárást, de ezúttal válassza a másik virtuális könyvtárat.

  11. Zárja be az IIS-kezelőt.

  12. Ismételje meg az 1–10. lépést az AD RMS-fürt összes kiszolgálója esetében.

Ezután el kell érni, hogy a hitelesítési módszer az Ügyféltanúsítvány-hozzárendeléses hitelesítés szolgáltatást használja az AD RMS-fürtben.

Az ügyfél-hitelesítési módszer kötelezővé tétele az applicationhost.config fájlban

  1. Emelt szintű parancssorablak megnyitásához kattintson a Start gombra, mutasson a Minden program elemre, majd kattintson a Kellékek pontra, kattintson jobb gombbal a Parancssor ikonra, végül kattintson a Futtatás rendszergazdaként lehetőségre.

  2. Keresse meg a %windir%\system32\inetsrv\config fájlt.

  3. Írja be a notepad applicationhost.config parancsot, majd nyomja le az ENTER billentyűt.

    Figyelem!

    Módosítás előtt készítsen biztonsági másolatot erről a fájlról.

  4. Az applicationhost.config fájlban keresse meg a következőre hasonlító szakaszt: <location path="Default Web Site/_wmcs/certification/certification.asmx">.

    Megjegyzés

    A fenti fájl elérési útja attól függ, hogy melyik fájlra vagy virtuális könyvtárra szeretné kötelezővé tenni az ügyféltanúsítványok hozzárendelését.

  5. Ha a Windows-hitelesítés mellett az intelligens kártyás hitelesítést is engedélyezni szeretné, tegye a következőt:

    1. Módosítsa a

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      bejegyzést a következőre:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Szúrjon be egy új sort a <windowsAuthentication enabled="true" /> sor alá, majd írja be a következőt:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Ha csak az intelligens kártyás hitelesítést szeretné engedélyezni, tegye a következőt: Győződjön meg arról, hogy az Internet Information Services szolgáltatással SSL-ügyfélhitelesítést kell használni.

    1. Szúrjon be egy új sort a <windowsAuthentication enabled="true" /> sor alá, majd írja be a következőt:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Módosítsa a

      <windowsAuthentication enabled="true" />

      bejegyzést a következőre:

      <windowsAuthentication enabled="false" />

    3. Kattintson a Fájl menü Mentés parancsára, majd zárja be a Jegyzettömböt.

    4. Írja be a parancssorba az iisreset parancsot, majd nyomja le az ENTER billentyűt.

    Figyelem!

    Az iisreset parancs parancssorból való futtatásával újraindíthatók az Internet Information Services szolgáltatásai.

  7. Ismételje meg az 1–5. lépést az AD RMS-fürt összes kiszolgálója esetében.

A fenti beállítások konfigurálása után az adott AD RMS-fürt által közzétett védett tartalmak megnyitásakor a rendszer hitelesítő adatokat kér a felhasználótól, és csak azután bocsátja ki a RAC tanúsítványt vagy a használati licencet.

További hivatkozások

Tartalom