IIS의 클라이언트 인증서 - 확실하지 않습니다 - 경험해주세요.

Question

클라이언트 인증서를 사용하여 기존 앱에 액세스 제어 기능을 재구성하는 방법에 대한 조언을 찾고 있습니다.

저희 회사는 다른 사람들에게 라이센스를 제공하는 기존 인트라넷 앱 (고전 ASP/IIS)을 보유하고 있습니다. 지금까지는 그것을 사용하는 각 조직 내에서 호스팅되었으며 보안은 "인트라넷에 액세스 할 수 있으면 응용 프로그램에 액세스 할 수있는 경우"로 구성되었습니다.

지금은 외부에서이 앱을 호스팅하여 자신을 호스팅하지 않으려는 다른 조직이 사용할 수있는 새로운 클라이언트를 만들 수있는 방법을 모색 중입니다.

새 조직의 모든 사용자에게는 클라이언트 인증서가 있으므로 IIS에서 '클라이언트 인증서 필요'항목을 사용하고 싶습니다. "Organization = BigClientX가 로컬 사용자 인 것처럼 가장하면"이라고 말할 수 있습니다.

"조직 = BigClientX가 virtualdirectoryZ의 리소스에 액세스하도록하고 그렇지 않으면 무시하십시오"라고 말하는 것이 좋습니다.

내가 가장 좋은 접근 방법이라면이 작업을 수행 할 애드온 (아마도 ISAPI 필터)을 구매하게되어 매우 기쁩니다. 조언/전쟁 이야기는으로 환영받을 것입니다. 나는 비슷한 짓을했는지

Answer 1

가능성이 높습니다. 클라이언트 인증서는 실제로 인증의 두 번째 요소를위한 것이지 1 차적인 소스를위한 것이 아닙니다. 다르게 말하면 기본 또는 양식 인증을 위해 앱을 구성해야합니다.

공개/개인 키 뒤에있는 기술은 견고합니다. 그러나 인증서 수명주기 관리를 담당하는 매우 성숙한 IT 조직이 필요합니다. 이 인증서가 없으면 인증서가 만료되었거나 새 컴퓨터에 복사되지 않았기 때문에 막연한 실패 시나리오가 발생합니다.

이것은 특히 응용 프로그램이 인터넷에 연결되어있는 경우에 해당합니다 '호스팅'시나리오) - 사용자에게 인증서 발급에 대한 제어 권한이 거의 없습니다.

Answer 2

...

은 조직의 도메인 컨트롤러에서 내부적으로 인증서를 생성합니다. 배포 할 때는 PFX 형식으로 내보내고 IIS에서 가져 오려면 CER 형식으로 내 보냅니다.

고객 컴퓨터가 CA를 "신뢰"할 수 있도록 DC의 CA 인증서와 함께 PFX 형식 내보내기를 배포하십시오.

이제 응용 프로그램 속성 IIS에서 디렉터리 보안 탭으로 이동 한 다음 "보안 통신"에서 "편집"을 클릭하십시오. 여기에서 "클라이언트 인증서 수락", "클라이언트 인증서 매핑 사용", "편집"을 차례로 클릭하십시오.

1 : 1 탭에서 "추가"를 클릭하고 CER 파일을 가져옵니다. 이 인증서를 매핑 할 계정을 입력하십시오.

"리소스에 액세스하도록 허용"에 관해서는 매핑 된 사용자 계정으로이를 수행하도록 권합니다 - 즉, NTFS 사용 권한 또는 코드를 통해 해당 계정을 기반으로하는 리소스에 대한 액세스를 제공 할 수 있습니다 로그인 한 사용자의 보안 컨텍스트를 식별합니다.