Se estiver a utilizar smart cards na organização para fornecer segurança adicional e controlo sobre credenciais de utilizador, os utilizadores poderão agora utilizar esses smart cards com credenciais de autenticação para obter certificados de conta de direitos (RACs) e licenças de utilização a partir de servidores do cluster de AD RMS.

Nota

Os passos deste procedimento pressupõem que já está instalado um certificado SSL (Secure Sockets Layer). Para mais informações sobre como adicionar SSL, consulte Importar um Certificado SSL Utilizando o Gestor dos Serviços de Informação Internet (IIS).

Ser membro do grupo local de Administradores ou equivalente, é o requisito mínimo para concluir este procedimento.

Para adicionar o serviço de função Autenticação de Mapeamento de Certificados de Cliente
  1. Abra o Gestor de servidor. Clique em Iniciar, aponte para Ferramentas administrativas e, em seguida, clique em Gestor de servidor.

  2. Se aparecer a caixa de diálogo de Controlo de contas de utilizador, confirme se a acção apresentada é a que pretende e, em seguida, clique em Sim.

  3. Expanda Funções e clique em Servidor Web (IIS).

  4. No painel de resultados, em Serviços de Função, clique em Adicionar Serviços de Função.

  5. Seleccione a caixa de verificação Autenticação de Mapeamento de Certificados de Cliente e clique em Seguinte.

  6. Clique em Instalar.

  7. Quando o serviço de função for adicionado, clique em Fechar.

Em seguida, configure o método de autenticação no IIS:

Para configurar o método de autenticação no IIS:
  1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Gestor dos Serviços de Informação Internet (IIS).

  2. Se aparecer a caixa de diálogo de Controlo de contas de utilizador, confirme se a acção apresentada é a que pretende e, em seguida, clique em Sim.

  3. Na árvore da consola, expanda o nome do servidor.

  4. No painel de resultados da página Principal do servidor, faça duplo clique em Autenticação para abrir a página Autenticação.

  5. No painel de resultados da página Autenticação, clique com o botão direito do rato em Autenticação de Certificados de Cliente do AD e clique em Activar.

  6. Feche o Gestor do IIS.

Finalmente, active a autenticação de cliente para o Web site que hospeda o AD RMS:

Para activar a autenticação de cliente num Web site que hospeda o AD RMS
  1. Clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Gestor dos Serviços de Informação Internet (IIS).

  2. Se aparecer a caixa de diálogo de Controlo de contas de utilizador, confirme se a acção apresentada é a que pretende e, em seguida, clique em Sim.

  3. Na árvore da consola, expanda o nome do servidor.

  4. Expanda Sites e expanda o Web site que hospeda o AD RMS. Por predefinição, o nome do Web site é Web Site Predefinido.

  5. Na árvore da consola, expanda _wmcs, clique com o botão direito do rato no directório virtual de certificação (para suportar os RACs) ou no directório virtual de licenciamento (para suportar licenças de utilização) e clique em Mudar para Vista de Conteúdos.

  6. No painel de resultados da Vista de Conteúdo, clique com o botão direito do rato em certification.asmx ou license.asmx conforme adequado e escolha Mudar para a Vista de Funcionalidades.

  7. No painel de resultados da página Home, faça duplo clique em Definições de SSL.

  8. Escolha a definição Certificados de cliente adequada (Aceitar ou Pedir). Deve aceitar certificados de cliente se quiser que os clientes tenham a opção de fornecer credenciais de autenticação utilizando um certificado de smart card ou um nome de utilizador e uma palavra-passe. Deve pedir certificados de cliente se quiser que apenas os clientes com certificados do lado cliente, como smart cards, possam estabelecer ligação ao serviço.

  9. Clique em Aplicar.

  10. Se pretender utilizar autenticação de cliente para certificação e licenciamento, repita este procedimento, mas seleccione o directório virtual alternativo da segunda vez.

  11. Feche o Gestor do IIS.

  12. Repita os passos 1 a 10 para cada servidor do cluster de AD RMS.

Em seguida, tem de impor o método de autenticação para utilizar Autenticação de Mapeamento de Certificados de Cliente para o cluster de AD RMS.

Para impor o método de autenticação de cliente no ficheiro applicationhost.config
  1. Para abrir uma janela da linha de comandos, clique em Iniciar, aponte para Todos os programas, clique em Acessórios, clique com o botão direito do rato em Linha de comandos e depois clique em Executar como administrador.

  2. Navegue para %windir%\system32\inetsrv\config.

  3. Escreva notepad applicationhost.config e prima ENTER.

    Atenção

    Deve criar uma cópia de segurança deste ficheiro antes de efectuar alterações.

  4. Vá para a secção semelhante a <location path="Default Web Site/_wmcs/certification/certification.asmx"> do ficheiro applicationhost.config.

    Nota

    A localização do ficheiro acima depende do ficheiro ou directório virtual em que está a impor o mapeamento de certificados de cliente.

  5. Se pretende permitir autenticação de smart cards, além da autenticação do Windows, efectue o seguinte:

    1. Altere:

      <access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />

      Para:

      <access sslFlags="Ssl, SslNegotiateCert, Ssl128" />

    2. Adicione uma nova linha abaixo de <windowsAuthentication enabled="true" /> e escreva:

      <clientCertificateMappingAuthentication enabled="true" />

  6. Se pretender permitir apenas autenticação de smart cards, efectue o seguinte. Certifique-se de que a autenticação de cliente SSL com os Serviços de Informação Internet é exigida.

    1. Adicione uma nova linha abaixo de <windowsAuthentication enabled="true" /> e escreva:

      <clientCertificateMappingAuthentication enabled="true" />

    2. Altere:

      <windowsAuthentication enabled="true" />

      Para:

      <windowsAuthentication enabled="false" />

    3. Clique em Ficheiro, clique em Guardar e feche o Bloco de Notas.

    4. Na janela da linha de comandos, escreva iisreset e prima ENTER.

    Atenção

    A execução de iisreset a partir de uma linha de comandos reiniciará os serviços associados aos Serviços de Informação Internet.

  7. Repita os passos 1 a 5 para cada servidor do cluster de AD RMS.

Após a configuração destas definições, a um utilizador que tente abrir conteúdo protegido por direitos publicado por este cluster de AD RMS será pedido que forneça credenciais de autenticação antes de o cluster fornecer, ao utilizador, um RAC ou licença de utilizador.

Sumário