Als in uw organisatie smartcards worden gebruikt voor extra veiligheid en het beheer van gebruikersreferenties, hebben gebruikers nu de mogelijkheid deze smartcards te gebruiken met verificatiereferenties om rechtenaccountcertificaten (RAC's) te verkrijgen en licenties te gebruiken van servers in het AD RMS-cluster.

Opmerking

Bij de stappen in deze procedure wordt ervan uitgegaan dat er reeds een SSL-certificaat (Secure Sockets Layer) is geïnstalleerd. Zie Een SSL-certificaat importeren met IIS-beheer (Internet Information Services) voor meer informatie over het toevoegen van SSL.

Lidmaatschap van de lokale groep Administrators , of daaraan gelijk, is minimaal vereist om deze procedure te voltooien.

Een rolservice toevoegen voor verificatie van clientcertificaattoewijzing

  1. Open Serverbeheer. Klik op Start, ga naar Systeembeheer en klik op Serverbeheer.

  2. Als het dialoogvenster Gebruikersaccountbeheer verschijnt, controleert u of de getoonde actie inderdaad datgene is dat u wilt doen, en klikt u op Ja als dat zo is.

  3. Vouw Rollen uit en klik vervolgens op Web Server (IIS).

  4. Klik in het resultaatdeelvenster onder Rolservices op Rolservices toevoegen.

  5. Schakel het selectievakje Verificatie van clientcertificaattoewijzingen in en klik vervolgens op Volgende.

  6. Klik op Installeren.

  7. Klik op Sluiten als de rolservice is toegevoegd.

Vervolgens configureert u de verificatiemethode in IIS:

De verificatiemethode configureren in IIS

  1. Klik op Start, wijs Systeembeheer aan en klik vervolgens op Beheer van Internet Information Services (IIS).

  2. Als het dialoogvenster Gebruikersaccountbeheer verschijnt, controleert u of de getoonde actie inderdaad datgene is dat u wilt doen, en klikt u op Ja als dat zo is.

  3. Vouw de servernaam uit in de consolestructuur.

  4. Klik in het resultaatdeelvenster van de startpagina van de server op Verificatie om de pagina Verificatie te openen.

  5. Klik in het resultaatdeelvenster van de pagina Verificatie met de rechtermuisknop op Verificatie van AD-clientcertificaten en klik vervolgens op Inschakelen.

  6. Sluit IIS-beheer.

Schakel tot slot de functie voor clientverificatie in voor de website die AD RMS host:

De functie voor clientverificatie inschakelen op een website die AD RMS host

  1. Klik op Start, wijs Systeembeheer aan en klik vervolgens op Beheer van Internet Information Services (IIS).

  2. Als het dialoogvenster Gebruikersaccountbeheer verschijnt, controleert u of de getoonde actie inderdaad datgene is dat u wilt doen, en klikt u op Ja als dat zo is.

  3. Vouw de servernaam uit in de consolestructuur.

  4. Vouw Sites uit, en vouw vervolgens de website uit die AD RMS host. De naam van de website is standaard Standaardwebsite.

  5. Vouw in de consolestructuur _wmcs uit, klik met de rechtermuisknop op de virtuele certificeringsdirectory (ter ondersteuning van RAC's) of op de virtuele licentiëringsdirectory (ter ondersteuning van gebruikslicenties) en klik vervolgens op Overschakelen naar inhoudsweergave.

  6. Klik in het resultaatdeelvenster van de inhoudsweergave met de rechtermuisknop op certification.asmx of license.asmx en kies vervolgens Overschakelen naar functieweergave.

  7. Dubbelklik in het resultaatdeelvenster van de startpagina op SSL-instellingen.

  8. Kies de gewenste instelling voor Clientcertificaten (Accepteren of Vereisen). U accepteert clientcertificaten als u wilt dat clients de optie hebben verificatiereferenties te verstrekken met een smartcardcertificaat of in de vorm van een gebruikersnaam en een wachtwoord. U stelt clientcertificaten verplicht als u wilt dat uitsluitend clients met certificaten aan de clientzijde (zoals smartcards) de mogelijkheid hebben verbinding te maken met de service.

  9. Klik op Toepassen.

  10. Als u zowel voor certificering als voor licentiëring gebruik wilt maken van clientverificatie, herhaalt u de procedure, maar selecteert u de tweede keer de andere virtuele directory.

  11. Sluit IIS-beheer.

  12. Herhaal de stappen 1 tot en met 10 voor elke server in het AD RMS-cluster.

Vervolgens moet u de verificatiemethode ertoe verplichten de functie voor verificatie van clientcertificaattoewijzingen te gebruiken voor het AD RMS-cluster.

De clientverificatiemethode afdwingen in het bestand applicationhost.config

  1. U opent een venster met verhoogde opdrachtpromptmogelijkheden als volgt: klik op Start, Alle programma's, Bureau-accessoires, klik met de rechtermuisknop op Opdrachtprompt en klik op Als administrator uitvoeren.

  2. Navigeer naar %windir%\system32\inetsrv\config.

  3. Typ notepad applicationhost.config en druk op ENTER.

    Waarschuwing

    Maak een back-up van dit bestand voordat u wijzigingen aanbrengt.

  4. Ga naar de sectie die overeenkomt met de sectie <location path="Default Web Site/_wmcs/certification/certification.asmx"> van het bestand applicationhost.config.

    Opmerking

    De locatie van het hierboven vermelde bestand is afhankelijk van het bestand of de virtuele directory waarin u clientcertificaattoewijzing probeert af te dwingen.

  5. Als u naast Windows-verificatie smartcardverificatie wilt toestaan, gaat u als volgt te werk:

    1. Wijzig:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      In:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Voeg een nieuwe regel toe onder <windowsAuthentication enabled="true" /> en typ vervolgens:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Als u uitsluitend smartcardverificatie wilt toestaan, gaat u als volgt te werk. Verzeker u ervan dat SSL-clientverificatie met Internet Information Services vereist is.

    1. Voeg een nieuwe regel toe onder <windowsAuthentication enabled="true" /> en typ vervolgens:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Wijzig:

      <windowsAuthentication enabled="true" />

      In:

      <windowsAuthentication enabled="false" />

    3. Klik op Bestand, klik op Opslaan en sluit vervolgens Kladblok af.

    4. Typ iisreset in het opdrachtpromptvenster en druk op ENTER.

    Waarschuwing

    Als u iisreset uitvoert vanaf de opdrachtregel worden de bij Internet Information Services horende services gestart.

  7. Herhaal de stappen 1 tot en met 5 voor elke server in het AD RMS-cluster.

Nadat deze instellingen zijn geconfigureerd, wordt een gebruiker die probeert met rechten beveiligde inhoud te openen die wordt gepubliceerd door dit AD RMS-cluster, verzocht verificatiereferenties te verstrekken alvorens hij van het cluster een RAC of gebruikslicentie verkrijgt.

Aanvullende naslaginformatie

Inhoudsopgave