IIS'de İstemci Sertifikaları - Anladığımdan emin değilim - deneyimler lütfen?

Question

Varolan bir uygulamaya erişim denetimini retro uyumlu hale getirmek için istemci sertifikalarının kullanımı hakkında bazı tavsiyelerde bulunmak.

Şirketimiz, başkalarına lisans verdiğimiz bir intranet uygulamasına (klasik ASP/IIS) sahiptir. Şimdiye kadar, onu kullanan her kuruluş içinde barındırıldı ve güvenlik, "intranet'e erişebiliyorsanız, uygulamaya erişebiliyorsunuz" dan oluşuyordu.

Artık bu uygulamayı harici olarak barındırmanın bir yolunu arıyorum, böylece kendilerini barındırmak istemeyen diğer kuruluşlar bunu kullanabilir (her yeni müşterinin kendi kurulumu olacaktır).

Yeni kuruluştaki tüm kullanıcılar bir istemci sertifikasına sahip olacaklardı, bundan dolayı yapmak istediklerim IIS'de 'İstemci Sertifikası iste' öğelerini kullanmak. “Organizasyon = BigClientX sonra yerel kullanıcıymış gibi davran” diyebilirsiniz.

Tercih ettiğim şey "Organizasyon = BigClientX ise daha sonra bunları sanal dizininde erişmelerine izin verdiyse, aksi halde yoksay" şeklinde bir şeydir.

Eğer en iyi yaklaşım buysa benim için bunu yapabilecek bir addon (belki de bir ISAPI filtresi?) Almaktan çok memnun olurum. Herhangi bir tavsiye/savaş hikayesi kabul edilecektir. Benzer bir şey yaptık

Answer 1

Büyük olasılıkla bunu yapmak istersiniz. İstemci sertifikaları, ikinci bir kimlik doğrulaması faktörü için tasarlanmıştır, ancak birincil kaynak değildir. Farklı bir şekilde söylemek gerekirse, uygulamanızı hala temel veya form kimlik doğrulaması için yapılandırmanız gerekir.

Kamu/özel anahtarların arkasındaki teknoloji sağlamdır. Ancak, sertifika yaşam döngüsü yönetimi ile uğraşan çok olgun bir BT organizasyonuna ihtiyacınız var. Buna sahip değilseniz, sertifikanın süresi dolduğundan, yeni bilgisayara kopyalanamadığından, başarısızlık senaryoları alacaksınız.

Bu, özellikle uygulamanızın Internet'e baktığı durumlarda geçerlidir. 'barındırılan' senaryosu) - kullanıcılara sertifikaların verilmesiyle ilgili çok az kontrolünüz var.

Answer 2

...

sizin org alan adı denetleyicisinden içten sertifikaları oluşturun. Dağıtım için hem PFX biçimi hem de IIS'de içe aktarmanız için CER formatı olarak dışa aktarın.

PFX biçimindeki dışa aktarma işlemlerini DC'nizin CA sertifikasıyla birlikte dağıtın, böylece müşterilerinizin makineleri CA'nıza "güvenir".

Artık uygulama özellikleri IIS'de, Dizin Güvenliği sekmesine gidin ve "Güvenli İletişim" altında "Düzenle" ye tıklayın. Burada "İstemci sertifikalarını kabul et", "İstemci Sertifika Eşlemesini Etkinleştir" ve ardından "Düzenle" yi tıklayın.

1'e 1 sekmesi altında, "Ekle" ye tıklayın ve CER dosyasını içeri aktarın. Bu sertifikayı eşlemek istediğiniz hesabı girin.

"Kaynaklara erişmelerine izin verin" konusuna gelince, kullanıcı hesabıyla eşleştirildiklerini öneririm; yani, bu hesaba dayalı kaynaklara NTFS izinleri aracılığıyla veya kod aracılığıyla erişebilirsiniz. giriş yapmış kullanıcının güvenlik bağlamını belirleyerek.