rss facebook twitter
Home

Forums - Client-Zertifikate auf dem IIS 7 installieren

Hello GuestSearch
You are here: Overview > Support > Knowledge Base: Installation > Client-Zertifikate auf dem IIS 7 installieren
Client-Zertifikate auf dem IIS 7 installieren
Author Message
Posted on: 20.10.2011 at: 11:08:29
Author:
mario.stuck
E-Mail:
mario.stuck@it-direkt.de

Voraussetzungen:

- IIS Version 7 oder höher

- Ausgestelltes Client-Zertifikat

Grundidee:

Ein Client-Zertifikat kann als Authentifizierungsobjekt verwendet werden. Dabei wird das gleiche Zertifikat auf dem Server und auf allen Clients installiert (one to many). Alternativ können auch unterschiedliche Zertifikatspaare installiert werden, so dass die Zertifikate unterschiedlichen Benutzern zugewiesen werden können (one to one).

Client-Zertifikat auf dem Server installieren:

Das Zertifikat muss auf dem Server über die MMC -> Zertifikate -> Computerkonto installiert werden.

Im Zertifikatsstore „Eigene Zertifikate" das Clientzertifikat (*.p12, bzw. *.pfx) installieren. Sofern der Rechner keine Internetverbindung hat, müssen evtl. noch Zwischenzertifikate und das CA-Zertifikat des Ausstellers installiert werden.

Einrichtung des IIS für Client-Zertifikate:

Der IIS muss über eine SSL-Verbindung zu erreichen sein. Zeitweilig kann das über ein selbst signiertes Zertifikat erfolgen (zu Testzwecken).

Über das SSL-Symbol in der IIS-Verwaltung kann dann festgelegt werden, wie Client-Zertifikate verwendet werden sollen.

Nun kommt die eigentliche Zuordnung zwischen Zertifikat und einem (one-to-one) oder mehreren (one -to-many) Benutzerkonten.

In der Konfigurationseinstellung des IIS-Managers wird nun der Pfad zu den Client Zertifikaten ausgewählt ( system.webServer/security/authentication/iisClientCertificateMappingAuthentication).

In der Konfiguration werden nun die zugelassenen Authentifizierungen aktiviert, die gewünscht sind.

Beim Beispiel der one-to-one Einstellung wird ein Zertifikat einem Benutzer zugeordnet (klick auf die Auswahlbox hinter count=:

Nun wird ein neuer Eintrag erstellt, der einem Zertifikat einen Benutzer zuordnet.

Das Zertifikat erhält man, in dem man das Client-Zertifikat (siehe oben) als Base64-Zertifkat exportiert und das Zertifikat mittels Text-Editor auf eine Zeile schneidet (also die Zeilenumbrüche herausnimmt).

Danach sieht die Konfigurationseinstellung folgendermaßen aus:

Damit ist die Servereinrichtung erledigt. Auf dem Client muss nun nur noch das Zertifikat installiert werden. Dazu einfach auf dem Client das Zertifikat öffnen und unter eigene Zertifikate installieren (eventuell sind auch hier noch Stammzertifikate zu installieren).

Unter Firefox muss das Zertifikat direkt unter Einstellungen importiert werden.