Clientzertifikatzuordnungsauthentifizierung <clientCertificateMappingAuthentication>

  • Artikel
  • 5 Minuten Lesedauer

Übersicht

<clientCertificateMappingAuthentication> das Element gibt an, ob die <authentication> Clientzertifikatzuordnung mit Active Directory für Internetinformationsdienste (IIS) 7 aktiviert ist.

Hinweis

Die Clientzertifikatzuordnungsauthentifizierung mit Active Directory unterscheidet sich von der Clientzertifikatzuordnungsauthentifizierung mithilfe von IIS auf folgende Weise:

  • Clientzertifikatzuordnungsauthentifizierung mit Active Directory – diese Authentifizierungsmethode erfordert, dass der IIS 7-Server Mitglied einer Active Directory-Domäne ist, und Benutzerkonten werden in Active Directory gespeichert. Diese Methode der Clientzertifikatauthentifizierung hat die Leistung aufgrund des Roundtrips auf den Active Directory-Server verringert.
  • DIE IIS-Clientzertifikatzuordnungsauthentifizierung – diese Authentifizierungsmethode erfordert kein Active Directory und funktioniert daher mit eigenständigen Servern. Diese Methode der Clientzertifikatauthentifizierung hat die Leistung erhöht, erfordert jedoch mehr Konfiguration und erfordert Zugriff auf Clientzertifikate, um Zuordnungen zu erstellen.

Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung in IIS 7.0 auf der Microsoft TechNet-Website.

Kompatibilität

Version Notizen
IIS 10.0 Das <clientCertificateMappingAuthentication> Element wurde in IIS 10.0 nicht geändert.
IIS 8,5 Das <clientCertificateMappingAuthentication> Element wurde in IIS 8.5 nicht geändert.
IIS 8,0 Das <clientCertificateMappingAuthentication> Element wurde in IIS 8.0 nicht geändert.
IIS 7,5 Das <clientCertificateMappingAuthentication> Element wurde in IIS 7.5 nicht geändert.
IIS 7.0 Das <clientCertificateMappingAuthentication> Element des <authentication> Elements wurde in IIS 7.0 eingeführt.
IIS 6.0 N/V

Einrichten

Das <clientCertificateMappingAuthentication> Element ist in der Standardinstallation von IIS 7 und höher nicht verfügbar. Um sie zu installieren, führen Sie die folgenden Schritte aus.

Windows Server 2012 oder Windows Server 2012 R2

  1. Klicken Sie auf der Taskleiste auf Server-Manager.
  2. Klicken Sie in Server-Manager auf das Menü "Verwalten", und klicken Sie dann auf "Rollen und Features hinzufügen".
  3. Klicken Sie im Assistenten " Rollen und Features hinzufügen " auf "Weiter". Wählen Sie den Installationstyp aus, und klicken Sie auf "Weiter". Wählen Sie den Zielserver aus, und klicken Sie auf "Weiter".
  4. Erweitern Sie auf der Seite "Serverrollen " den Webserver (IIS), erweitern Sie Den Webserver, erweitern Sie "Sicherheit", und wählen Sie dann die Clientzertifikatzuordnungsauthentifizierung aus. Klicken Sie auf Weiter.
    Abbildung des WebServers und des Sicherheitsbereichs, der mit ausgewählter Clientzertifikatszuordnungsauthentifizierung erweitert wurde. .
  5. Klicken Sie auf der Seite Features auswählen auf Weiter.
  6. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  7. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows 8 oder Windows 8.1

  1. Bewegen Sie auf dem Startbildschirm den Mauszeiger auf die untere linke Ecke, klicken Sie mit der rechten Maustaste auf die Startschaltfläche, und klicken Sie dann auf Systemsteuerung.
  2. Klicken Sie in Systemsteuerung auf "Programme und Features", und klicken Sie dann auf "Windows-Features aktivieren" oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, erweitern Sie World Wide Web Services, erweitern Sie Sicherheit, und wählen Sie dann die Clientzertifikatzuordnungsauthentifizierung aus.
    Screenshot des bereichs
  4. Klicken Sie auf OK.
  5. Klicken Sie auf Schließen.

Windows Server 2008 oder Windows Server 2008 R2

  1. Klicken Sie auf der Taskleiste auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf Server-Manager.
  2. Erweitern Sie im Server-Manager Hierarchiebereich Rollen, und klicken Sie dann auf Webserver (IIS).
  3. Scrollen Sie im Bereich Webserver (IIS) zum Abschnitt "Rollendienste ", und klicken Sie dann auf " Rollendienste hinzufügen".
  4. Wählen Sie auf der Seite "Rollendienste auswählen " des Assistenten "Rollendienste hinzufügen" die Option "Clientzertifikatzuordnungsauthentifizierung" aus, und klicken Sie dann auf "Weiter".
    Abbildung der Seite
  5. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  6. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows Vista oder Windows 7

  1. Klicken Sie auf der Taskleiste auf "Start", und klicken Sie dann auf Systemsteuerung.
  2. Klicken Sie in Systemsteuerung auf "Programme und Features", und klicken Sie dann auf "Windows-Features aktivieren" oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, und wählen Sie dann die Clientzertifikatzuordnungsauthentifizierung aus, und klicken Sie dann auf OK.
    Screenshot des Erweiterten Bereichs

Vorgehensweise

So aktivieren Sie die Clientzertifikatzuordnungsauthentifizierung für einen Server

  1. Internetinformationsdienste-Manager (IIS) öffnen:

    • Wenn Sie Windows Server 2012 oder Windows Server 2012 R2 verwenden:

      • Klicken Sie auf der Taskleiste auf Server-Manager, klicken Sie auf "Extras", und klicken Sie dann auf den IIS-Manager (InternetInformationsdienste).

    • Wenn Sie Windows 8 oder Windows 8.1 verwenden:

      • Halten Sie die Windows-TASTE gedrückt, drücken Sie den Buchstaben X, und klicken Sie dann auf Systemsteuerung.
      • Klicken Sie auf "Verwaltungstools", und doppelklicken Sie dann auf den IIS-Manager (InternetInformationsdienste).

    • Wenn Sie Windows Server 2008 oder Windows Server 2008 R2 verwenden:

      • Klicken Sie auf der Taskleiste auf "Start", zeigen Sie auf "Verwaltungstools", und klicken Sie dann auf den IIS-Manager (Internet Information Services).

    • Wenn Sie Windows Vista oder Windows 7 verwenden:

      • Klicken Sie auf der Taskleiste auf "Start", und klicken Sie dann auf Systemsteuerung.
      • Doppelklicken Sie auf "Verwaltungstools", und doppelklicken Sie dann auf den IIS-Manager (InternetInformationsdienste).

  2. Klicken Sie im Bereich "Verbindungen " auf den Servernamen.

  3. Doppelklicken Sie im Startbereich des Servers auf "Authentifizierung".
    Screenshot des Servers

  4. Klicken Sie auf der Seite "Authentifizierung" im Bereich "Aktionen" auf "Aktivieren".
    Abbildung des Bereichs

Konfiguration

Attribute

attribute Beschreibung
enabled Optionales boolesches Attribut.

Gibt an, ob die Clientzertifikatzuordnungsauthentifizierung mit Active Directory aktiviert ist. Damit diese Einstellung wirksam wird, müssen Sie dieses Attribut mit IIS-Manager festlegen. Wenn Sie dieses Attribut mithilfe einer anderen Methode festlegen, müssen Sie den Webserver neu starten, damit die Einstellung wirksam wird.

Der Standardwert ist false.

Untergeordnete Elemente

Keine

Konfigurationsbeispiel

Im folgenden Konfigurationsbeispiel wird die Clientzertifikatzuordnungsauthentifizierung mithilfe von Active Directory für die Standardwebsite aktiviert und die Website so konfiguriert, dass SSL- und Clientzertifikate ausgehandelt werden.

<location path="Default Web Site">
   <system.webServer>
      <security>
         <access sslFlags="Ssl, SslNegotiateCert" />
          <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <clientCertificateMappingAuthentication enabled="true" />
         </authentication>
     </security>
   </system.webServer>
</location>

Beispielcode

In den folgenden Codebeispielen wird die Clientzertifikatzuordnungsauthentifizierung mithilfe von Active Directory für die Standardwebsite aktiviert und die Website so konfiguriert, dass SSL- und Clientzertifikate ausgehandelt werden.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/clientCertificateMappingAuthentication /enabled:"True" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/access /sslFlags:"Ssl, SslNegotiateCert" /commit:apphost

Hinweis

Sie müssen den Commitparameterapphost unbedingt festlegen, wenn Sie AppCmd.exe verwenden, um diese Einstellungen zu konfigurieren. Dadurch werden die Konfigurationseinstellungen auf den entsprechenden Speicherortabschnitt in der ApplicationHost.config-Datei commitsiert.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();

         ConfigurationSection clientCertificateMappingAuthenticationSection = config.GetSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "Default Web Site");
         clientCertificateMappingAuthenticationSection["enabled"] = true;

         ConfigurationSection accessSection = config.GetSection("system.webServer/security/access", "Default Web Site");
         accessSection["sslFlags"] = @"Ssl, SslNegotiateCert";

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration

      Dim clientCertificateMappingAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "Default Web Site")
      clientCertificateMappingAuthenticationSection("enabled") = True

      Dim accessSection As ConfigurationSection = config.GetSection("system.webServer/security/access", "Default Web Site")
      accessSection("sslFlags") = "Ssl, SslNegotiateCert"

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var clientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");
clientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = true;

var accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site");
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert";

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set clientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/clientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")
clientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = True

Set accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site")
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert"

adminManager.CommitChanges()