Om du använder smartkort inom organisationen för att tillhandahålla ytterligare säkerhet och kontroll över användares autentiseringsuppgifter kan användare nu använda smartkort med autentiseringsuppgifter för att erhålla rights account certificates (RAC:er)- och användningslicenser från servrar i AD RMS-klustret.

OBS

Stegen i den här proceduren förutsätter att det redan har installerats ett SSL-certifikat (Secure Sockets Layer). För mer information om hur du lägger till SSL, gå till Importera ett SSL-certifikat genom att använda IIS-hanteraren (Internet Information Services).

Medlemskap i den lokala gruppen Administratörer eller liknande är minimikravet för att kunna slutföra den här proceduren.

Så här lägger du till rolltjänsten Autentisering av klientcertifikatsmappning
  1. Öppna Serverhanteraren. Klicka på Start, peka på Administrationsverktyg och klicka sedan Serverhanteraren.

  2. Om dialogrutan Kontroll av användarkonto öppnas bekräftar du att du vill utföra den åtgärd som visas och klickar sedan på Ja.

  3. Expandera Roller och klicka sedan på Webbserver (IIS).

  4. Klicka på Lägg till rolltjänster i resultatfönstret under Rolltjänster.

  5. Markera kryssrutan Autentisering av klientcertifikatsmappning och klicka sedan på Nästa.

  6. Klicka på Installera.

  7. Klicka på Stäng när rolltjänsten har lagts till.

Konfigurera sedan autentiseringsmetoden i IIS:

Så här konfigurerar du autentiseringsmetoden i IIS
  1. Klicka på Start, peka på Administrationsverktyg och klicka på Internet Information Services-hanteraren.

  2. Om dialogrutan Kontroll av användarkonto öppnas bekräftar du att du vill utföra den åtgärd som visas och klickar sedan på Ja.

  3. Expandera servernamnet i konsolträdet.

  4. Dubbelklicka på Autentisering i resultatfönstret på serverns Startsida för att öppna sidan Autentisering.

  5. I resultatfönstret på sidan Autentisering högerklickar du på AD-klientcertifikatautentisering och sedan klickar du på Aktivera.

  6. Stäng IIS-hanteraren.

Till slut aktiverar du klientautentisering för den webbplats som är värd för AD RMS:

Så här aktiverar du klientautentisering på en webbplats som är värd för AD RMS
  1. Klicka på Start, peka på Administrationsverktyg och klicka på Internet Information Services-hanteraren.

  2. Om dialogrutan Kontroll av användarkonto öppnas bekräftar du att du vill utföra den åtgärd som visas och klickar sedan på Ja.

  3. Expandera servernamnet i konsolträdet.

  4. Expandera Platser och expandera sedan den webbplats som är värd för AD RMS. Standard är att webbplatsens namn är Standardwebbplats.

  5. Expandera _wmcs i konsolträdet, högerklicka antingen på den virtuella katalogen certifiering (för att stödja RAC eller den virtuella katalogen licensiering (för att stödja användningslicenser) och klicka sedan på Växla till innehållsvisning.

  6. I resultatfönstret i Visa innehåll högerklickar du på certification.asmx eller license.asmx och väljer sedan Växla till innehållsvisning.

  7. Dubbelklicka på SSL-inställningar i resultatfönstret på Startsida.

  8. Välj lämplig inställning för Klientcertifikat (Acceptera eller Kräv). Du ska acceptera klientcertifikat om du vill att klienter ska ha valmöjlighet att ange autentiseringsuppgifter genom att använda antingen ett smartkortcertifikat eller ett användarnamn och lösenord. Du bör kräva klientcertifikat om du bara vill att klienter med certifikat på klientsidan, t.ex. smartkort, ska kunna ansluta till tjänsten.

  9. Klicka på Använd.

  10. Om du vill använda klientautentisering för både certifiering och licensiering, upprepa den här proceduren men välj den andra virtuella katalogen den andra gången.

  11. Stäng IIS-hanteraren.

  12. Upprepa steg 1-10 för varje server i AD RMS-klustret.

Nästa steg att är att tvinga autentiseringsmetoden att använda Autentisering av klientcertifikatsmappning förAD RMS-klustret.

Så här framtvingar du klientautentiseringsmetoden i filen applicationhost.config
  1. Om du vill öppna en kommandotolk med förhöjd behörighet klickar du på Start, pekar på Alla program, klickar på Tillbehör, högerklickar på Kommandotolken och klickar sedan på Kör som administratör.

  2. Navigera till %windir%\system32\inetsrv\config.

  3. Skriv notepad applicationhost.config och tryck sedan på Retur.

    Varning

    Du ska göra en säkerhetskopia av den här filen innan du gör ändringar.

  4. Gå till det avsnitt som liknar avsnittet <location path="Default Web Site/_wmcs/certification/certification.asmx"> i filen applicationhost.config.

    OBS

    Placeringen för filen ovan beror på vilken fil eller virtuella katalog du försöker framtvinga klientcertifikatmappning för.

  5. Om du vill tillåta smartkortsautentisering i tillägg till Windows-autentisering gör du så här:

    1. Ändra:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      Till:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Lägg till en ny rad under <windowsAuthentication enabled="true" /> och skriv:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Gör så här om du bara vill tillåta autentisering med smartkort. Se till att det behövs SSL-klientautentisering med IIS (Internet Information Services).

    1. Lägg till en ny rad under <windowsAuthentication enabled="true" /> och skriv:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Ändra:

      <windowsAuthentication enabled="true" />

      Till:

      <windowsAuthentication enabled="false" />

    3. Klicka på Arkiv, klicka på Spara och stäng sedan Anteckningar.

    4. Skriv iisreset på kommandoraden och tryck sedan på RETUR.

    Varning

    När du kör iisreset från en kommandotolk startar det om de tjänster som är associerade med IIS (Internet Information Services).

  7. Upprepa steg 1–5 för varje server i AD RMS-klustret.

När dessa inställningar har konfigurerats instrueras en användare som försöker öppna rättighetsskyddat innehåll som publicerats av detta AD RMS-kluster att tillhandahålla autentiseringsuppgifter innan klustret förser användaren med en RAC eller användningslicens.

Innehåll