若要完成此程序,您必須至少是本機 Administrators 群組成員,或同等群組成員。

新增用戶端憑證對應驗證角色服務

  1. 開啟 [伺服器管理員]。 按一下 [開始],指向 [系統管理工具] 後,再按一下 [伺服器管理員]。

  2. 當 [使用者帳戶控制] 對話方塊出現,確認顯示的動作為所需動作後,再按一下 [是]。

  3. 展開 [角色],然後按一下 [網頁伺服器 (IIS)]

  4. 在結果窗格的 [角色服務] 下,按一下 [新增角色服務]

  5. 選取 [用戶端憑證對應驗證] 核取方塊,然後按 [下一步]

  6. 按一下 [安裝]

  7. 新增角色服務後,按一下 [關閉]

接著在 IIS 中設定驗證方法:

在 IIS 中設定驗證方法

  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [網際網路資訊服務 (IIS) 管理員]

  2. 當 [使用者帳戶控制] 對話方塊出現,確認顯示的動作為所需動作後,再按一下 [是]。

  3. 在主控台樹狀目錄中,展開伺服器名稱。

  4. 在伺服器 [首頁] 頁面的結果窗格中,按兩下 [驗證] 開啟 [驗證] 頁面。

  5. [驗證] 頁面的結果窗格中,按兩下 [AD 用戶端憑證驗證],然後按一下 [啟用]

  6. 關閉 [IIS 管理員]。

最後啟用主控 AD RMS 之網站的用戶端驗證:

在主控 AD RMS 的網站上啟用用戶端驗證

  1. 按一下 [開始],指向 [系統管理工具],然後按一下 [網際網路資訊服務 (IIS) 管理員]

  2. 當 [使用者帳戶控制] 對話方塊出現,確認顯示的動作為所需動作後,再按一下 [是]。

  3. 在主控台樹狀目錄中,展開伺服器名稱。

  4. 展開 [站台],然後展開主控 AD RMS 的網站。網站名稱預設是 [預設的網站]

  5. 在主控台樹狀目錄中,展開 _wmcs,並在 certification 虛擬目錄 (以支援 RAC 或為了支援使用授權則是 licensing 虛擬目錄) 上按一下滑鼠右鍵,然後按一下 [切換到內容檢視]

  6. [內容檢視] 的結果窗格中,適當地於 certification.asmxlicense.asmx 上按一下滑鼠右鍵,然後選擇 [切換到功能檢視]

  7. [首頁] 頁面的結果窗格中,按兩下 [SSL 設定]

  8. 選擇適當的 [用戶端憑證] 設定 ([接受][需要])。如果想要讓用戶端選擇使用智慧卡憑證或使用者名稱和密碼來提供驗證認證,則應該接受用戶端憑證。如果只想要具有用戶端憑證 (如智慧卡) 的用戶端才可以連線至服務,則應該要求用戶端憑證。

  9. 按一下 [套用]

  10. 如果想要讓憑證和授權都使用用戶端驗證,請重複此程序,但是第二次時請選取替代虛擬目錄。

  11. 關閉 [IIS 管理員]。

  12. 針對 AD RMS 叢集中的每部伺服器重複步驟 1-10。

接著您需要將驗證方法強制為將用戶端憑證對應驗證用於 AD RMS 叢集。

在 applicationhost.config 檔案中強制使用用戶端驗證方法

  1. 若要開啟提升的 [命令提示字元] 視窗,按一下 [開始]、指向 [所有程式],按一下 [附屬應用程式],在 [命令提示字元] 上按一下滑鼠右鍵,然後按一下 [以系統管理員身分執行]。

  2. 瀏覽至 %windir%\system32\inetsrv\config。

  3. 輸入 notepad applicationhost.config,然後按 ENTER。

    注意
    在變更之前,應該先備份此檔案。

  4. 移至與 applicationhost.config 檔案的 <location path="Default Web Site/_wmcs/certification/certification.asmx"> 區段類似的區段。

    附註
    上面的檔案位置取決於您想要強制執行用戶端憑證對應的檔案或虛擬目錄。

  5. 如果除了 Windows 驗證之外還想要允許智慧卡驗證,請執行下列動作:

    1. 變更:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      為:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. 在 <windowsAuthentication enabled="true" /> 下新增一行,然後輸入:

      <clientCertificateMappingAuthentication enabled="true" />

  6. 如果只想要允許智慧卡驗證,請執行下列動作。請務必要求網際網路資訊服務使用 SSL 用戶端驗證。

    1. 在 <windowsAuthentication enabled="true" /> 下新增一行,然後輸入:

      <clientCertificateMappingAuthentication enabled="true" />

    2. 變更:

      <windowsAuthentication enabled="true" />

      為:

      <windowsAuthentication enabled="false" />

    3. 按一下 [檔案],並按一下 [儲存],然後關閉記事本。

    4. 在命令提示字元視窗中,輸入 iisreset,然後按 ENTER。

    注意
    在命令提示字元中執行 iisreset,會重新啟動與網際網路資訊服務關聯的服務。

  7. 針對 AD RMS 叢集中的每部伺服器重複步驟 1-5。

設定這些設定之後,嘗試開啟由此 AD RMS 叢集發佈之受權限保護內容的使用者,必須先依照提示提供驗證認證,然後叢集才會將 RAC 或使用授權提供給使用者。

其他參考資料

目錄