Client Certs sur IIS - pas sûr de l'avoir - expériences s'il vous plaît?

Question

Vous cherchez des conseils sur l'utilisation des certificats clients pour réajuster le contrôle d'accès à une application existante.

Notre société a une application intranet existante (ASP/IIS classique) que nous concédons sous licence à d'autres. Jusqu'à présent, il était hébergé dans chaque organisation qui l'utilisait et la sécurité consistait en "si vous êtes en mesure d'accéder à l'intranet, vous pouvez accéder à l'application".

Je cherche maintenant un moyen d'héberger cette application en externe afin que les autres organisations qui ne souhaitent pas l'héberger elles-mêmes puissent l'utiliser (chaque nouveau client aurait sa propre installation).

Tous les utilisateurs de la nouvelle organisation disposeraient d'un certificat client, ce que je voudrais faire, c'est utiliser le contenu du 'Require Client Certificate' dans IIS. Cela vous permet de dire "si l'organisation = BigClientX alors prétendre qu'ils sont des utilisateurs locaux". Ce que je préférerais, c'est quelque chose qui dirait "si Organization = BigClientX alors laissez-les accéder aux ressources dans virtualdirectoryZ sinon les ignorer".

Je serais très heureux d'acheter un addon (peut-être un filtre ISAPI?) Qui ferait cela pour moi si c'était la meilleure approche. Des conseils/histoires de guerre seraient les bienvenus.

Answer 1

Vous voudrez probablement faire cela. Les certificats clients sont vraiment destinés à un deuxième facteur d'authentification, mais pas à la source primaire. Pour le dire autrement, vous devez toujours configurer votre application pour l'authentification de base ou de formulaires.

La technologie derrière les clés publiques/privées est solide comme le roc. Cependant, vous avez besoin d'une organisation informatique très mature qui s'occupe de la gestion du cycle de vie des certificats. Si vous ne l'avez pas, vous obtiendrez des scénarios d'échecs inédits car le certificat a expiré, n'a pas été copié sur le nouvel ordinateur, etc.

Ceci est particulièrement vrai dans votre scénario où votre application est connectée à Internet (en scénario 'hébergé') - vous avez peu de contrôle sur la délivrance des certificats à vos utilisateurs.

Answer 2

Je l'ai fait quelque chose de similaire ...

générer les certificats en interne à partir du contrôleur de domaine de votre org. Exportez-les à la fois au format PFX pour la distribution et au format CER pour l'importation dans IIS.

Distribuez les exportations au format PFX avec le certificat CA pour votre contrôleur de domaine, afin que vos machines clientes fassent confiance à votre autorité de certification.

Dans les propriétés de l'application IIS, accédez à l'onglet Sécurité du répertoire et sous "Communications sécurisées", cliquez sur "Modifier". Dans là, cliquez sur "Accepter les certificats clients", "Activer le mappage de certificat client", puis "Modifier".

Sous l'onglet 1-à-1, cliquez sur "Ajouter" et importez le fichier CER. Entrez le compte que vous souhaitez associer à ce certificat. En ce qui concerne le "laissez-les accéder aux ressources", je vous conseille de le faire par le compte d'utilisateur auquel ils sont mappés, c'est-à-dire que vous pouvez accéder aux ressources basées sur ce compte en identifiant le contexte de sécurité de l'utilisateur connecté.