Se requiere ser miembro del grupo local Administradores o equivalente como mínimo para llevar a cabo este procedimiento.

Para agregar un servicio de rol de autenticación de asignaciones de certificado de cliente

  1. Abra Administrador de servidores. Haga clic en Inicio, en Herramientas administrativas y, a continuación, haga clic en Administrador de servidores.

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en .

  3. Expanda Roles y, a continuación, haga clic en Servidor web (IIS).

  4. En el panel de resultados de Servicios de rol, haga clic en Agregar servicios de rol.

  5. Active la casilla Autenticación de asignaciones de certificado de cliente y, a continuación, haga clic en Siguiente.

  6. Haga clic en Instalar.

  7. Cuando el servicio de rol se haya agregado, haga clic en Cerrar.

A continuación, configure el método de autenticación en IIS:

Para configurar el método de autenticación en IIS

  1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en .

  3. En el árbol de consola, expanda el nombre del servidor.

  4. En el panel de resultados de la página Página principal del servidor, haga doble clic en Autenticación para abrir la página con el mismo nombre.

  5. En el panel de resultados de la página Autenticación, haga clic con el botón secundario en Autenticación de certificados de cliente de AD y, a continuación, haga clic en Habilitar.

  6. Cierre el Administrador IIS.

Por último, habilite la autenticación de cliente para el sitio web que hospeda a AD RMS:

Para habilitar la autenticación de cliente para el sitio web que hospeda AD RMS

  1. Haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Administrador de Internet Information Services (IIS).

  2. Si aparece el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que desea y, a continuación, haga clic en .

  3. En el árbol de consola, expanda el nombre del servidor.

  4. Expanda Sitios y, a continuación, el sitio web que hospeda AD RMS. De forma predeterminada, el nombre de este sitio web es Sitio web predeterminado.

  5. En el árbol de la consola, expanda _wmcs, haga clic con el botón secundario en el directorio virtual Certificación (para admitir RAC) o en el directorio virtual Licencias (para admitir licencias de uso) y, a continuación, haga clic en Cambiar a vista Contenido.

  6. En el panel de resultados de la vista de contenido, haga clic con el botón secundario en certification.asmx o en license.asmx según proceda, y elija Cambiar a vista Características.

  7. En el panel de resultados de la página Página principal, haga doble clic en Configuración de SSL.

  8. Elija el valor de configuración Certificados de cliente adecuado (Aceptar o Requerir). Deberá aceptar los certificados de cliente si desea que los clientes tengan la posibilidad de suministrar credenciales de autenticación mediante una tarjeta inteligente o bien un nombre de usuario y una contraseña. Deberá requerir los certificados de cliente si desea que sólo los clientes con certificados del lado cliente (como las tarjetas inteligentes) se puedan conectar al servicio.

  9. Haga clic en Aplicar.

  10. En caso de que quiera usar la autenticación de cliente tanto para las certificaciones como para las licencias, repita este procedimiento pero seleccionando esta vez el directorio virtual alternativo.

  11. Cierre el Administrador IIS.

  12. Repita los pasos 1 a 10 con cada servidor en el clúster de AD RMS.

A continuación, será necesario aplicar el método de autenticación para que use la autenticación de asignaciones de certificado de cliente en relación con el clúster de AD RMS.

Para aplicar el método de autenticación en el archivo applicationhost.config

  1. Para abrir la ventana elevada del símbolo del sistema, haga clic en Inicio, seleccione Todos los programas, Accesorios, haga clic con el botón secundario en Símbolo del sistema y, a continuación, haga clic en Ejecutar como administrador.

  2. Navegue hasta %windir%\system32\inetsrv\config.

  3. Escriba notepad applicationhost.config y presione ENTRAR.

    Precaución
    Se recomienda hacer una copia de seguridad de este archivo antes de realizar cualquier cambio.

  4. Vaya a la sección parecida a <location path="Default Web Site/_wmcs/certification/certification.asmx"> del archivo applicationhost.config.

    Nota
    La ubicación del archivo anterior dependerá del directorio virtual o de archivos donde trate de aplicar la asignación de certificados de cliente.

  5. Si desea permitir la autenticación de tarjeta inteligente además de la autenticación de Windows, realice lo siguiente:

    1. Cambie:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      A:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Agregue una nueva línea debajo de <windowsAuthentication enabled="true" /> y escriba:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Si desea permitir únicamente la autenticación de tarjeta inteligente, realice lo siguiente: Asegúrese de que la autenticación de cliente SSL con Internet Information Services es necesaria.

    1. Agregue una nueva línea debajo de <windowsAuthentication enabled="true" /> y escriba:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Cambie:

      <windowsAuthentication enabled="true" />

      A:

      <windowsAuthentication enabled="false" />

    3. Haga clic en Archivo, en Guardar y, a continuación, cierre el Bloc de notas.

    4. En la ventana del símbolo del sistema, escriba iisreset y presione Entrar.

    Precaución
    Si ejecuta iisreset desde un símbolo del sistema, se reiniciarán los servicios relativos a Internet Information Services.

  7. Repita los pasos 1 a 5 con cada servidor en el clúster de AD RMS.

Una vez que haya establecido estas configuraciones, un usuario que trate de abrir contenido protegido por derechos publicado por este clúster de AD RMS recibirá un mensaje en el que se le pedirá que proporcione credenciales de autenticación antes de que el clúster pueda suministrarle un RAC o una licencia de uso.

Tabla de contenido