Monthly Archives: Februar 2013

[IIS 7.x] PKI-Authentifizierung

Um den IIS 7.x für eine starke Authentifizierung mittels PKI einzurichten, sind folgende Schritte notwendig:

  1. Das Feature Authentifizierung über Clientzertifikatzuordnung (Windows 7) bzw. Clientzertifikatszuordnung-Authentifizierung (Windows Server 2008 R2) installieren. Dies geschieht unter Windows 7 über Systemsteuerung->Programme und Funktionen->Windows-Funktionen aktivieren oder deaktivieren->Internetinformationsdienste->WWW-Dienste->Sicherheit->Authentifizierung über Clientzertifikatzuordnung, unter Windows Server 2008 R2 über Server-Manager->Rollen->Webserver (IIS)->Rollendienst hinzufügen->Webserver->Sicherheit->Clientzertifikatszuordnung-Authentifizierung„.
  2. Nachdem das Feature erfolgreich installiert wurde, den Internetinformationsdienste (IIS)-Manager öffnen und den Server auswählen. Hier muss in der Ansicht „Features“ unter Authentifizierung die Option Active Directory-Clientzertifikatauthentifizierung aktiviert werden.
  3. Unter Sites die gewünschte Website auswählen und mittels Kontextmenü Bindungen bearbeiten… wählen. Es muss zwingend eine Bindung vom Typ https mit einem gültigen Zertifikat existieren. Es ist zwar empfehlenswert, alle anderen Bindungen zu entfernen, jedoch nicht unbedingt notwendig (falls z.B. noch andere Applikationen ohne PKI-Authentifizierung in der Website laufen).
  4. Innerhalb der Website die gewünschte Applikation auswählen und in der Ansicht „Features“ unter Authentifizierung alle verfügbaren Optionen deaktivieren. Sie werden beim Mapping des Client-Zertifikats auf den Windows-Account nicht mehr gebraucht.
  5. Ebenfalls der Ansicht „Features“ müssen unter SSL-Einstellungen die Optionen SSL erforderlich und Clientzertifikate: Erforderlich aktiviert werden.

Nun ruft man nun die gewünschte Applikation auf. Sollte nur ein passendes Client-Zertifikat im Benutzerzertifikatsspeicher vorhanden sein, wird dieses automatisch angezogen. Andernfalls erscheint ein Auswahldialog mit den verfügbaren Client-Zertifikaten.