本地 Administrators 组中的成员身份或同等身份是完成此过程的最低要求。
添加客户端证书映射身份验证角色服务
打开服务器管理器。 单击“开始”,指向“管理工具”,然后单击“服务器管理器”。
如果出现“用户帐户控制”对话框,请确认其显示的是您要执行的操作,然后单击“是”。
展开“角色”,然后单击“Web 服务器(IIS)”。
在“角色服务”下的结果窗格中,单击“添加角色服务”。
选中“客户端证书映射身份验证”复选框,然后单击“下一步”。
单击“安装”。
添加角色服务后,单击“关闭”。
接下来,在 IIS 中配置身份验证方法:
在 IIS 中配置身份验证方法
单击“开始”,指向“管理工具”,再单击“Internet 信息服务 (IIS) 管理器”。
如果出现“用户帐户控制”对话框,请确认其显示的是您要执行的操作,然后单击“是”。
在控制台树中,展开服务器名称。
在服务器“主页”的结果窗格中,双击“身份验证”打开“身份验证”页。
在“身份验证”页的结果窗格中,右键单击“AD 客户端证书身份验证”,然后单击“启用”。
关闭 IIS 管理器。
最后,为承载 AD RMS 的网站启用客户端身份验证:
在承载 AD RMS 的网站上启用客户端身份验证
单击“开始”,指向“管理工具”,再单击“Internet 信息服务 (IIS) 管理器”。
如果出现“用户帐户控制”对话框,请确认其显示的是您要执行的操作,然后单击“是”。
在控制台树中,展开服务器名称。
展开“站点”,然后展开承载 AD RMS 的网站。默认情况下,该网站名称为“默认网站”。
在控制台树中,展开 _wmcs,右键单击“认证”虚拟目录(以支持 RAC)或“授权”虚拟目录(以支持使用许可证),然后单击“切换到内容视图”。
在“内容视图”的结果窗格中,根据需要右键单击 certification.asmx 或 license.asmx,然后选择“切换到功能视图”。
在“主页”上的结果窗格中,双击“SSL 设置”。
选择适当的“客户端证书”设置(“接受”或“需要”)。如果希望客户端可以选择通过使用智能卡或用户名和密码来提供身份验证凭据,应接受客户端证书。如果希望仅具有客户端证书(如智能卡)的客户端能够连接到服务,应要求客户端证书。
单击“应用”。
如果希望对证书和授权使用客户端身份验证,请重复此过程,但第二次时选择备用虚拟目录。
关闭 IIS 管理器。
对 AD RMS 群集中的每个服务器重复步骤 1-10。
接下来,需要强制执行身份验证方法来对 AD RMS 群集使用客户端证书映射身份验证。
在 applicationhost.config 文件中强制执行客户端身份验证方法
要打开提升的“命令提示符”窗口,请单击“开始”,指向“所有程序”,单击“附件”,右键单击“命令提示符”,然后单击“以管理员身份运行”。
导航到 %windir%\system32\inetsrv\config。
键入 notepad applicationhost.config,然后按 Enter。
小心 进行更改前应创建此文件的备份副本。 转到与 applicationhost.config 文件的 <location path="Default Web Site/_wmcs/certification/certification.asmx"> 部分类似的部分。
注意 以上文件的位置取决于您尝试在其中强制执行客户端证书映射的文件或虚拟目录。 如果除 Windows 身份验证外还希望允许智能卡身份验证,请执行下列操作:
-
更改:
<access sslFlags="Ssl, SslNegotiateCert, SslRequireCert, Ssl128" />
到:
<access sslFlags="Ssl, SslNegotiateCert, Ssl128" />
-
在 <windowsAuthentication enabled="true" /> 下添加一个新行,然后键入:
<clientCertificateMappingAuthentication enabled="true" />
-
更改:
如果希望仅允许智能卡身份验证,请执行下列操作。确保 Internet 信息服务的 SSL 客户端身份验证是必需的。
-
在 <windowsAuthentication enabled="true" /> 下添加一个新行,然后键入:
<clientCertificateMappingAuthentication enabled="true" />
-
将以下内容:
<windowsAuthentication enabled="true" />
更改为:
<windowsAuthentication enabled="false" />
-
单击“文件”,单击“保存”,然后关闭记事本。
-
在命令提示符窗口中,键入 iisreset,然后按 Enter。
小心 从命令提示符下运行 iisreset 将重新启动与 Internet 信息服务关联的服务。 -
在 <windowsAuthentication enabled="true" /> 下添加一个新行,然后键入:
对 AD RMS 群集中的每个服务器重复步骤 1-5。
配置了这些设置后,如果用户尝试打开由此 AD RMS 群集发布的受权限保护的内容,系统将提示用户提供身份验证凭据,之后该群集才会向用户提供 RAC 或使用许可证。