A associação ao grupo Administradores local, ou equivalente, é o mínimo necessário para concluir este procedimento.
Para adicionar o serviço de função Autenticação de Mapeamento de Certificado de Cliente
Abra o Gerenciador do Servidor. Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador do Servidor.
Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a desejada e clique em Sim.
Expanda Funções e clique em Servidor Web (IIS).
No painel de resultados, em Serviços de Função, clique em Adicionar Serviços de Função.
Marque a caixa de seleção Autenticação de Mapeamento de Certificado de Cliente e clique em Avançar.
Clique em Instalar.
Quando o serviço de função for adicionado, clique em Fechar.
Em seguida, configure o método de autenticação no IIS:
Para configurar o método de autenticação no IIS
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador dos Serviços de Informações da Internet (IIS).
Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a desejada e clique em Sim.
Na árvore de console, expanda o nome de servidor.
No painel de resultados da página Início, clique duas vezes em Autenticação para abrir a página Autenticação.
No painel de resultados da página Autenticação, clique com o botão direito do mouse em Autenticação de Certificado de Cliente do AD e clique em Habilitar.
Feche o Gerenciador do IIS.
Finalmente, habilite a autenticação de cliente para o site que hospeda o AD RMS:
Para habilitar a autenticação de cliente em um site que hospede o AD RMS
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Gerenciador dos Serviços de Informações da Internet (IIS).
Se a caixa de diálogo Controle de Conta de Usuário aparecer, confirme se a ação exibida é a desejada e clique em Sim.
Na árvore de console, expanda o nome de servidor.
Expanda Sites e o site que hospeda o AD RMS. Por padrão, o nome do site é Site Padrão.
Na árvore de console, expanda _wmcs, clique com o botão direito do mouse no diretório virtual Certificação (para oferecer suporte a RACs) ou no diretório virtual Licenciamento (para oferecer suporte a licenças de uso) e clique em Alternar para Exibição de Conteúdo.
No painel de resultados Exibição de Conteúdo, clique com o botão direito do mouse em certification.asmx ou license.asmx, conforme apropriado, e escolha Alternar para Exibição de Recursos.
No painel de resultados da página Início, clique duas vezes em Configurações de SSL.
Escolha a configuração Certificados de cliente apropriada (Aceitar ou Solicitar). Você deve aceitar certificados de cliente se desejar que os clientes tenham a opção de fornecer credenciais de autenticação usando um certificado de cartão inteligente ou um nome de usuário e uma senha. Você deve exigir certificados de cliente se desejar que apenas os clientes com certificados do lado do cliente, como cartões inteligente, possam se conectar ao serviço.
Clique em Aplicar.
Para usar a autenticação de cliente para certificação e licenciamento, repita este procedimento, mas selecione o diretório virtual alternativo na segunda vez.
Feche o Gerenciador do IIS.
Repita as etapas de 1 a 10 para cada servidor no cluster AD RMS.
Em seguida, será necessário forçar o método de autenticação a usar a Autenticação de Mapeamento de Certificado de Cliente para o cluster AD RMS.
Para forçar o método de autenticação de cliente no arquivo applicationhost.config
Para abrir uma janela de Prompt de Comando privilegiada, clique em Iniciar, aponte para Todos os Programas, clique em Acessórios, clique com o botão direito do mouse em Prompt de Comando e clique em Executar como administrador.
Navegue até %windir%\system32\inetsrv\config.
Digite notepad applicationhost.config e pressione ENTER.
Cuidado Crie uma cópia de backup desse arquivo antes de fazer as alterações. Vá para a seção semelhante à seção <location path="Default Web Site/_wmcs/certification/certification.asmx"> do arquivo applicationhost.config.
Observação O local do arquivo acima depende do arquivo ou diretório virtual ao qual você está tentando impor o mapeamento de certificado de cliente. Para permitir a autenticação de cartão inteligente além da autenticação do Windows, faça o seguinte:
-
Altere:
<access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />
Para:
<access sslFlags="Ssl, SslNegotiateCert, Ssl128" />
-
Adicione uma nova linha sob <windowsAuthentication enabled="true" /> e digite:
<clientCertificateMappingAuthentication enabled="true" />
-
Altere:
Para permitir apenas a autenticação de cartão inteligente, faça o seguinte: verifique se a autenticação de cliente SSL com os Serviços de Informações da Internet é necessária.
-
Adicione uma nova linha sob <windowsAuthentication enabled="true" /> e digite:
<clientCertificateMappingAuthentication enabled="true" />
-
Altere:
<windowsAuthentication enabled="true" />
Para:
<windowsAuthentication enabled="false" />
-
Clique em Arquivo, Salvar e feche o Bloco de Notas.
-
No prompt de comando, digite iisreset e pressione ENTER.
Cuidado A execução de iisreset de um prompt de comando irá reiniciar os serviços associados aos Serviços de Informações da Internet. -
Adicione uma nova linha sob <windowsAuthentication enabled="true" /> e digite:
Repita as etapas de 1 a 5 para cada servidor no cluster AD RMS.
Depois que essas configurações forem definidas, um usuário que tentar abrir um conteúdo protegido por direitos publicado por esse cluster AD RMS será solicitado a fornecer credenciais de autenticação para que o cluster lhe forneça um RAC ou uma licença de uso.