Freigeben über


Authentifizierung der IIS-Clientzertifikatzuordnung <iisClientCertificateMappingAuthentication>

Übersicht

Das <iisClientCertificateMappingAuthentication>-Element des <authentication>-Elements gibt die Einstellungen für die Authentifizierung der Clientzertifikatzuordnung mithilfe von IIS an.

Es gibt zwei verschiedene Methoden zum Zuordnen von Clientzertifikaten mithilfe von IIS:

  • 1:1-Zuordnungen – diese Zuordnungen entsprechen einzelnen Clientzertifikaten für einzelne Benutzerkonten auf 1:1-Basis; Jedem Clientzertifikat wird ein Benutzerkonto zugeordnet.
  • Many-To-One-Zuordnungen – bei diesen Zuordnungen entsprechen mehrere Zertifikate einem Benutzerkonto basierend auf Unterfeldern in Clientzertifikaten.

Hinweis

Die Authentifizierung der Clientzertifikatzuordnung mithilfe von IIS unterscheidet sich von der Clientzertifikatszuordnung mithilfe von Active Directory auf folgende Weise:

  • Authentifizierung der Clientzertifikatzuordnung mit Active Directory – diese Authentifizierungsmethode erfordert, dass der IIS 7-Server und der Clientcomputer Mitglieder einer Active Directory-Domäne sind und Benutzerkonten in Active Directory gespeichert werden. Diese Methode der Authentifizierung der Clientzertifikatzuordnung hat die Leistung aufgrund des Roundtrips zum Active Directory-Server reduziert.
  • Authentifizierung der IIS-Clientzertifikatszuordnung – diese Authentifizierungsmethode erfordert kein Active Directory und funktioniert daher mit eigenständigen Servern. Diese Methode der Authentifizierung der Clientzertifikatzuordnung hat die Leistung erhöht, erfordert jedoch mehr Konfiguration und Zugriff auf Clientzertifikate, um Zuordnungen zu erstellen.

Weitere Informationen finden Sie unter Konfigurieren der Authentifizierung in IIS 7.0 auf der Microsoft TechNet-Website.

Kompatibilität

Version Hinweise
IIS 10.0 Das <iisClientCertificateMappingAuthentication> Element wurde in IIS 10.0 nicht geändert.
IIS 8.5 Das <iisClientCertificateMappingAuthentication> Element wurde in IIS 8.5 nicht geändert.
IIS 8.0 Das <iisClientCertificateMappingAuthentication> Element wurde in IIS 8.0 nicht geändert.
IIS 7.5 Das <iisClientCertificateMappingAuthentication>-Element wurde in IIS 7.5 nicht geändert.
IIS 7.0 Das <iisClientCertificateMappingAuthentication>-Element des <authentication>-Elements wurde in IIS 7.0 eingeführt.
IIS 6.0 Das Element <iisClientCertificateMappingAuthentication> ersetzt das IIS 6.0 Metabasisobjekt IIsCertMapper.

Setup

Das Element <iisClientCertificateMappingAuthentication> ist für die Standardinstallation von IIS 7 und höher nicht verfügbar. Verwenden Sie zum Installieren die folgenden Schritte.

Windows Server 2012 oder Windows Server 2012 R2

  1. Klicken Sie auf der Taskleiste auf Server-Manager.
  2. Klicken Sie im Server-Manager auf Verwalten und dann auf Rollen und Features hinzufügen.
  3. Klicken Sie im Assistenten zum Hinzufügen von Rollen und Features auf Weiter. Wählen Sie den Installationstyp aus, und klicken Sie auf Weiter. Wählen Sie den Zielserver aus, und klicken Sie auf Weiter.
  4. Erweitern Sie auf der Seite ServerrollenWebserver (IIS), erweitern Sie Webserver, erweitern Sie Sicherheit, und wählen Sie dann die Authentifizierung durch IIS-Clientzertifikatszuordnung. Klicken Sie auf Weiter.
    Screenshot of the I I S Client Certificate Mapping Authentication option being highlighted and selected.
  5. Klicken Sie auf der Seite Features auswählen auf Weiter.
  6. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  7. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows 8 oder Windows 8.1

  1. Bewegen Sie auf dem Startbildschirm den Mauszeiger ganz nach links unten, klicken Sie mit der rechten Maustaste auf die Starttaste und klicken Sie dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerung auf Programme und Features, und klicken Sie dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, erweitern Sie World Wide Web Services, erweitern Sie Sicherheit, und wählen Sie dann die Authentifizierung durch IIS-Clientzertifikatszuordnung.
    Screenshot of the I I S Client Certificate Mapping Authentication folder being highlighted and selected.
  4. Klicken Sie auf OK.
  5. Klicken Sie auf Schließen.

Windows Server 2008 oder Windows Server 2008 R2

  1. Klicken Sie auf der Taskleiste auf Start, zeigen Sie auf Verwaltungstools, und klicken Sie dann auf Server-Manager.
  2. Erweitern Sie im Hierarchiebereich des Server-Managers die Rollenund klicken Sie dann auf den Webserver (IIS) .
  3. Scrollen Sie im Bereich Webserver (IIS) zum Abschnitt Rollendienste, und klicken Sie dann auf Rollendienste hinzufügen.
  4. Wählen Sie auf der Seite Rollendienste auswählen des Assistenten zum Hinzufügen von Rollendiensten die Authentifizierung durch IIS-Clientzertifikatszuordnung, und klicken Sie dann auf Weiter.
    Screenshot of the Add Role Services Wizard with the I I S Client Certificate Mapping Authentication option being highlighted.
  5. Klicken Sie auf der Seite Installationsauswahl bestätigen auf Installieren.
  6. Klicken Sie auf der Seite Ergebnisse auf Schließen.

Windows Vista oder Windows 7

  1. Klicken Sie auf der Taskleiste auf Start und dann auf Systemsteuerung.
  2. Klicken Sie in der Systemsteuerungauf Programmeund dann auf Windows-Features aktivieren oder deaktivieren.
  3. Erweitern Sie Internetinformationsdienste, wählen Sie dann Authentifizierung durch IIS-Clientzertifikatszuordnung, und klicken Sie dann auf OK.
    Screenshot of the Security folder being expanded, showing the highlighted I I S Client Certificate Mapping Authentication folder.

Gewusst wie

Es gibt keine Benutzeroberfläche zum Konfigurieren der Authentifizierung durch IIS-Clientzertifikatszuordnung für IIS 7. Beispiele für die programmgesteuerte Konfiguration der Authentifizierung durch IIS-Clientzertifikatszuordnung finden Sie im Abschnitt Codebeispiele dieses Dokuments.

Konfiguration

Das <iisClientCertificateMappingAuthentication>-Element des <authentication>-Elements kann auf Server- und Standortebene konfiguriert werden.

Attribute

Attribut Beschreibung
defaultLogonDomain Optionales String -Attribut.

Gibt die Standarddomäne an, die der Server zum Authentifizieren von Benutzern verwendet.
enabled Optionales boolesches Attribut.

Gibt an, ob die Authentifizierung der Clientzertifikatzuordnung mithilfe von IIS aktiviert ist.

Der Standardwert ist false.
logonMethod Optionales Enumerationsattribut.

Das logonMethod-Attribut kann einer der folgenden möglichen Werte sein. (Weitere Informationen zu diesen Werten finden Sie unter LogonUser.)

Der Standardwert ist ClearText.
Wert Beschreibung
Batch Dieser Anmeldetyp ist für Batchserver vorgesehen, bei denen Prozesse im Auftrag eines Benutzers ohne direkte Intervention ausgeführt werden können.

Der numerische Wert ist 1.
ClearText Dieser Anmeldetyp behält den Namen und das Kennwort im Authentifizierungspaket bei, wodurch der Server Verbindungen zu anderen Netzwerkservern herstellen kann, während er die Identität des Clients vorgibt.

Der numerische Wert ist 3.
Interactive Dieser Anmeldetyp ist für Benutzer vorgesehen, die den Computer interaktiv verwenden.

Der numerische Wert ist 0.
Network Dieser Anmeldetyp ist für Hochleistungsserver zur Authentifizierung von Nur-Text-Kennwörtern vorgesehen. Anmeldeinformationen werden für diesen Anmeldetyp nicht zwischengespeichert.

Der numerische Wert ist 2.
manyToOneCertificateMappingsEnabled Optionales boolesches Attribut.

Gibt an, ob die n:1-Zuordnung aktiviert ist

Der Standardwert ist true.
oneToOneCertificateMappingsEnabled Optionales boolesches Attribut.

Gibt an, ob die 1:1-Zuordnung aktiviert ist

Der Standardwert ist true.

Untergeordnete Elemente

Element Beschreibung
manyToOneMappings Optionales Element.

Ordnet Clientzertifikate einer Reihe von Wildcardkriterien zu, die die Zertifikate authentifizieren und ein Benutzerkonto zuweisen.
oneToOneMappings Optionales Element.

Gibt 1:1-Clientzertifikatzuordnungen an.

Konfigurationsbeispiel

Im folgenden Konfigurationsbeispiel werden die folgenden Aktionen für die Standardwebsite ausgeführt:

  • Aktiviert die Authentifizierung zur IIS-Clientzertifikatszuordnung mithilfe der n:1-Zertifikatzuordnung.
  • Erstellt eine n:1-Zertifikatzuordnungsregel für ein Benutzerkonto basierend auf dem Organisationsfeld im Feld Antragsteller des Clientzertifikats, das Contoso entspricht.
  • Konfiguriert die Site so, dass SSL erforderlich ist und Clientzertifikate ausgehandelt werden.
<location path="Default Web Site">
   <system.webServer>
      <security>
         <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <iisClientCertificateMappingAuthentication enabled="true"
                  manyToOneCertificateMappingsEnabled="true">
               <manyToOneMappings>
                  <add name="Contoso Employees"
                        enabled="true"
                        permissionMode="Allow"
                        userName="Username"
                        password="[enc:AesProvider:57686f6120447564652c2049495320526f636b73:enc]">
                     <rules>
                        <add certificateField="Subject"
                           certificateSubField="O"
                           matchCriteria="Contoso"
                           compareCaseSensitive="true" />
                     </rules>
                  </add>
               </manyToOneMappings>
            </iisClientCertificateMappingAuthentication>
         </authentication>
         <access sslFlags="Ssl, SslNegotiateCert" />
      </security>
   </system.webServer>
</location>

Im folgenden Konfigurationsbeispiel wird die Authentifizierung der IIS-Clientzertifikatzuordnung mithilfe der 1:1-Zertifikatzuordnung für die Standardwebsite aktiviert, eine 1:1-Zertifikatzuordnung für ein Benutzerkonto erstellt und die Website so konfiguriert, dass SSL erforderlich ist und Clientzertifikate aushandeln.

<location path="Default Web Site">
   <system.webServer>
      <security>
         <access sslFlags="Ssl, SslNegotiateCert" />
         <authentication>
            <windowsAuthentication enabled="false" />
            <anonymousAuthentication enabled="false" />
            <digestAuthentication enabled="false" />
            <basicAuthentication enabled="false" />
            <iisClientCertificateMappingAuthentication enabled="true"
                  oneToOneCertificateMappingsEnabled="true">
               <oneToOneMappings>
                  <add enabled="true"
                     userName="administrator"
                     password="[enc:57686f6120447564652c2049495320526f636b73:enc]"
                     certificate="Base64-Encoded-Certificate-Data" />
               </oneToOneMappings>
            </iisClientCertificateMappingAuthentication>
         </authentication>
      </security>
   </system.webServer>
</location>

So rufen Sie base-64-codierte Zeichenfolgen aus einem Clientzertifikat ab

Hinweis

Zum Abrufen einer Base64-codierten Zertifikatdaten für alle Beispiele in diesem Thema können Sie ein Zertifikat mithilfe der folgenden Schritte exportieren:

  1. Klicken Sie auf Start und dann auf Ausführen.

  2. Geben Sie MMC ein, und klicken Sie dann auf OK.

  3. Wenn die Microsoft Management Console geöffnet wird, klicken Sie auf Datei, und Snap-Ins hinzufügen/entfernen.

  4. Im Dialogfeld Snap-Ins hinzufügen bzw. entfernen:

    • Markieren Sie Zertifikate in der Liste der verfügbaren Snap-Ins, und klicken Sie dann auf Hinzufügen.
    • Wählen Sie aus, ob Zertifikate für Mein Benutzerkonto verwaltet werden sollen, und klicken Sie dann auf Fertig stellen.
    • Klicken Sie auf OK , um das Dialogfeld zu schließen.
  5. Microsoft Management Console:

    • Erweitern Sie Zertifikate – Aktueller Benutzer, dann Persönlich und dann Zertifikate.
    • Klicken Sie in der Liste der Zertifikate mit der rechten Maustaste auf das Zertifikat, das Sie exportieren möchten, und klicken Sie dann auf Alle Aufgaben, Exportieren.
  6. Wenn der Zertifikatexport-Assistent geöffnet wird:

    • Klicken Sie auf Weiter.
    • Wählen Sie Nein, nicht den privaten Schlüssel exportieren aus, und klicken Sie dann auf Weiter.
    • Wählen Sie Base-64-codierter X.509 9 (. CER) für das Exportformat, und klicken Sie dann auf Weiter.
    • Wählen Sie aus, dass das Zertifikat als MyCertificate.cer auf dem Desktop gespeichert werden soll, und klicken Sie dann auf Weiter.
    • Klicken Sie auf Fertig stellen; Es sollte ein Dialogfeld angezeigt werden, in dem angegeben wird, dass der Export erfolgreich war.
  7. Schließen Sie das Fenster Microsoft Management Console.

  8. Öffnen Sie die MyCertificate.cer-Datei, die Sie mit dem Windows-Editor exportiert haben:

    • Entfernen Sie „-----BEGIN CERTIFICATE-----“ vom Anfang des Texts.
    • Entfernen Sie „-----END CERTIFICATE-----“ vom Ende des Texts.
    • Verketten Sie alle Zeilen in eine einzelne Textzeile – dies sind die Base64-codierten Zertifikatdaten, die Sie für alle Beispiele in diesem Thema verwenden werden.

Beispielcode

Die folgenden Codebeispiele führen die folgenden Aktionen für die Standardwebsite aus:

  • Aktivieren Sie die Authentifizierung der IIS-Clientzertifikatszuordnung mithilfe der n:1-Zertifikatszuordnung.
  • Erstellt eine n:1-Zertifikatzuordnungsregel für ein Benutzerkonto basierend auf dem Organisationsfeld im Feld Antragsteller des Clientzertifikats, das Contoso entspricht.
  • Konfiguriert die Website so, dass SSL erforderlich ist und Clientzertifikate ausgehandelt werden.

AppCmd.exe

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/iisClientCertificateMappingAuthentication /enabled:"True" /manyToOneCertificateMappingsEnabled:"True" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/iisClientCertificateMappingAuthentication /+"manyToOneMappings.[name='Contoso Employees',enabled='True',permissionMode='Allow',userName='Username',password='Password']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/authentication/iisClientCertificateMappingAuthentication /+"manyToOneMappings.[name='Contoso Employees'].rules.[certificateField='Subject',certificateSubField='O',matchCriteria='Contoso',compareCaseSensitive='True']" /commit:apphost

appcmd.exe set config "Default Web Site" -section:system.webServer/security/access /sslFlags:"Ssl, SslNegotiateCert" /commit:apphost

Hinweis

Sie müssen unbedingt den Commitparameterapphost festlegen, wenn Sie AppCmd.exe verwenden, um diese Einstellungen zu konfigurieren. Dadurch werden die Konfigurationseinstellungen auf den entsprechenden Speicherortabschnitt in der Datei ApplicationHost.config festgelegt.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();

         ConfigurationSection iisClientCertificateMappingAuthenticationSection = config.GetSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "Default Web Site");
         iisClientCertificateMappingAuthenticationSection["enabled"] = true;
         iisClientCertificateMappingAuthenticationSection["manyToOneCertificateMappingsEnabled"] = true;

         ConfigurationElementCollection manyToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.GetCollection("manyToOneMappings");
         ConfigurationElement addElement = manyToOneMappingsCollection.CreateElement("add");
         addElement["name"] = @"Contoso Employees";
         addElement["enabled"] = true;
         addElement["permissionMode"] = @"Allow";
         addElement["userName"] = @"Username";
         addElement["password"] = @"Password";

         ConfigurationElementCollection rulesCollection = addElement.GetCollection("rules");
         ConfigurationElement addElement1 = rulesCollection.CreateElement("add");
         addElement1["certificateField"] = @"Subject";
         addElement1["certificateSubField"] = @"O";
         addElement1["matchCriteria"] = @"Contoso";
         addElement1["compareCaseSensitive"] = true;
         rulesCollection.Add(addElement1);
         manyToOneMappingsCollection.Add(addElement);

         ConfigurationSection accessSection = config.GetSection("system.webServer/security/access", "Default Web Site");
         accessSection["sslFlags"] = @"Ssl, SslNegotiateCert";

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration

      Dim iisClientCertificateMappingAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "Default Web Site")
      iisClientCertificateMappingAuthenticationSection("enabled") = True
      iisClientCertificateMappingAuthenticationSection("manyToOneCertificateMappingsEnabled") = True

      Dim manyToOneMappingsCollection As ConfigurationElementCollection = iisClientCertificateMappingAuthenticationSection.GetCollection("manyToOneMappings")
      Dim addElement As ConfigurationElement = manyToOneMappingsCollection.CreateElement("add")
      addElement("name") = "Contoso Employees"
      addElement("enabled") = True
      addElement("permissionMode") = "Allow"
      addElement("userName") = "Username"
      addElement("password") = "Password"

      Dim rulesCollection As ConfigurationElementCollection = addElement.GetCollection("rules")
      Dim addElement1 As ConfigurationElement = rulesCollection.CreateElement("add")
      addElement1("certificateField") = "Subject"
      addElement1("certificateSubField") = "O"
      addElement1("matchCriteria") = "Contoso"
      addElement1("compareCaseSensitive") = True
      rulesCollection.Add(addElement1)
      manyToOneMappingsCollection.Add(addElement)

      Dim accessSection As ConfigurationSection = config.GetSection("system.webServer/security/access", "Default Web Site")
      accessSection("sslFlags") = "Ssl, SslNegotiateCert"

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var iisClientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");
iisClientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = true;
iisClientCertificateMappingAuthenticationSection.Properties.Item("manyToOneCertificateMappingsEnabled").Value = true;

var manyToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.ChildElements.Item("manyToOneMappings").Collection;
var addElement = manyToOneMappingsCollection.CreateNewElement("add");
addElement.Properties.Item("name").Value = "Contoso Employees";
addElement.Properties.Item("enabled").Value = true;
addElement.Properties.Item("permissionMode").Value = "Allow";
addElement.Properties.Item("userName").Value = "Username";
addElement.Properties.Item("password").Value = "Password";

var rulesCollection = addElement.ChildElements.Item("rules").Collection;
var addElement1 = rulesCollection.CreateNewElement("add");
addElement1.Properties.Item("certificateField").Value = "Subject";
addElement1.Properties.Item("certificateSubField").Value = "O";
addElement1.Properties.Item("matchCriteria").Value = "Contoso";
addElement1.Properties.Item("compareCaseSensitive").Value = true;
rulesCollection.AddElement(addElement1);
manyToOneMappingsCollection.AddElement(addElement);

var accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site");
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert";

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set iisClientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")
iisClientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = True
iisClientCertificateMappingAuthenticationSection.Properties.Item("manyToOneCertificateMappingsEnabled").Value = True

Set manyToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.ChildElements.Item("manyToOneMappings").Collection
Set addElement = manyToOneMappingsCollection.CreateNewElement("add")
addElement.Properties.Item("name").Value = "Contoso Employees"
addElement.Properties.Item("enabled").Value = True
addElement.Properties.Item("permissionMode").Value = "Allow"
addElement.Properties.Item("userName").Value = "Username"
addElement.Properties.Item("password").Value = "Password"

Set rulesCollection = addElement.ChildElements.Item("rules").Collection
Set addElement1 = rulesCollection.CreateNewElement("add")
addElement1.Properties.Item("certificateField").Value = "Subject"
addElement1.Properties.Item("certificateSubField").Value = "O"
addElement1.Properties.Item("matchCriteria").Value = "Contoso"
addElement1.Properties.Item("compareCaseSensitive").Value = True
rulesCollection.AddElement(addElement1)
manyToOneMappingsCollection.AddElement(addElement)

Set accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site")
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert"

adminManager.CommitChanges()

Im folgenden Codebeispiel wird die Authentifizierung der IIS-Clientzertifikatzuordnung mithilfe der 1:1-Zertifikatzuordnung für die Standardwebsite aktiviert, eine 1:1-Zertifikatzuordnung für ein Benutzerkonto erstellt und die Website so konfiguriert, dass SSL erforderlich ist und Clientzertifikate aushandeln.

Hinweis

Um die Base64-codierten Zertifikatdaten für die unten aufgeführten Codebeispiele abzurufen, können Sie ein Zertifikat mithilfe der Im Abschnitt Konfigurationsdetails dieses Dokuments aufgeführten Schritte exportieren.

AppCmd.exe

Hinweis

Aufgrund von Zeichen in Zertifikatzeichenfolgen, die von AppCmd.exe nicht analysiert werden können, sollten Sie AppCmd.exe nicht zum Konfigurieren von 1:1-Zertifikatzuordnungen von IIS verwenden.

C#

using System;
using System.Text;
using Microsoft.Web.Administration;

internal static class Sample
{
   private static void Main()
   {
      using (ServerManager serverManager = new ServerManager())
      {
         Configuration config = serverManager.GetApplicationHostConfiguration();

         ConfigurationSection iisClientCertificateMappingAuthenticationSection = config.GetSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "Default Web Site");
         iisClientCertificateMappingAuthenticationSection["enabled"] = true;
         iisClientCertificateMappingAuthenticationSection["oneToOneCertificateMappingsEnabled"] = true;

         ConfigurationElementCollection oneToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.GetCollection("oneToOneMappings");
         ConfigurationElement addElement = oneToOneMappingsCollection.CreateElement("add");
         addElement["enabled"] = true;
         addElement["userName"] = @"Username";
         addElement["password"] = @"Password";
         addElement["certificate"] = @"Base-64-Encoded-Certificate-Data";
         oneToOneMappingsCollection.Add(addElement);

         ConfigurationSection accessSection = config.GetSection("system.webServer/security/access", "Default Web Site");
         accessSection["sslFlags"] = @"Ssl, SslNegotiateCert";

         serverManager.CommitChanges();
      }
   }
}

VB.NET

Imports System
Imports System.Text
Imports Microsoft.Web.Administration

Module Sample

   Sub Main()
      Dim serverManager As ServerManager = New ServerManager
      Dim config As Configuration = serverManager.GetApplicationHostConfiguration

      Dim iisClientCertificateMappingAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "Default Web Site")
      iisClientCertificateMappingAuthenticationSection("enabled") = True
      iisClientCertificateMappingAuthenticationSection("oneToOneCertificateMappingsEnabled") = True

      Dim oneToOneMappingsCollection As ConfigurationElementCollection = iisClientCertificateMappingAuthenticationSection.GetCollection("oneToOneMappings")
      Dim addElement As ConfigurationElement = oneToOneMappingsCollection.CreateElement("add")
      addElement("enabled") = True
      addElement("userName") = "Username"
      addElement("password") = "Password"
      addElement("certificate") = "Base-64-Encoded-Certificate-Data"
      oneToOneMappingsCollection.Add(addElement)

      Dim accessSection As ConfigurationSection = config.GetSection("system.webServer/security/access", "Default Web Site")
      accessSection("sslFlags") = "Ssl, SslNegotiateCert"

      serverManager.CommitChanges()
   End Sub

End Module

JavaScript

var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";

var iisClientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");
iisClientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = true;
iisClientCertificateMappingAuthenticationSection.Properties.Item("oneToOneCertificateMappingsEnabled").Value = true;

var oneToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.ChildElements.Item("oneToOneMappings").Collection;
var addElement = oneToOneMappingsCollection.CreateNewElement("add");
addElement.Properties.Item("enabled").Value = true;
addElement.Properties.Item("userName").Value = "Username";
addElement.Properties.Item("password").Value = "Password";
addElement.Properties.Item("certificate").Value = "Base-64-Encoded-Certificate-Data";
oneToOneMappingsCollection.AddElement(addElement);

var accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site");
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert";

adminManager.CommitChanges();

VBScript

Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"

Set iisClientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")
iisClientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = True
iisClientCertificateMappingAuthenticationSection.Properties.Item("oneToOneCertificateMappingsEnabled").Value = True

Set oneToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.ChildElements.Item("oneToOneMappings").Collection
Set addElement = oneToOneMappingsCollection.CreateNewElement("add")
addElement.Properties.Item("enabled").Value = True
addElement.Properties.Item("userName").Value = "Username"
addElement.Properties.Item("password").Value = "Password"
addElement.Properties.Item("certificate").Value = "Base-64-Encoded-Certificate-Data"
oneToOneMappingsCollection.AddElement(addElement)

Set accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site")
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert"

adminManager.CommitChanges()