Zugriff mit Zertifikat IIS

[chrigo 0]

Hallo zusammen,

 

ich hoffe Ihr könnt mir weiterhelfen bei meinem Problem:

 

Ich möchte gerne, dass eine Website im IIS zugriffgeschützt ist.

Dies soll durch ein Zertifikat geschehen.

 

Wir geben dem IIS ein Zertifikat und dem End-User ebenfalls.

 

Nun soll das auf dem User installierten Zertifikat das Recht geben auf die Website zuzugreifen.

..und wer kein Zertifikat hat bleibt draussen.

 

Könnt ihr mir sagen wie das geht?

Ich habe schon Stunden gegoogelt ohne auf eine vernünftige Lösung zu kommen.

 

Wir verwenden Server 2012 R2 mit IIS 8.5

 

Danke für eure Hilfe!

bearbeitet 6. April 2016 von chrigo

[Dukel 460]

Nach was hast du denn gesucht?

https://technet.microsoft.com/en-us/library/gg491215.aspx

 

Das ist aber sehr kompliziert. Wieso müssen es Client Zertifikate sein?

[zahni 566]

Oder hier

 

https://blogs.msdn.microsoft.com/asiatech/2014/02/12/how-to-configure-iis-client-certificate-mapping-authentication-for-iis7/

 

Ist nicht so auf Sharepoint fixiert ;)

[chrigo 0]

Wie man Websitezugriffe mit Zertifikat berechtigt.

 

Es geht im wesentliche darum:

Intranet, welches von Mobilegeräten aufrufbar sein soll. Der User soll sich aber nicht immer mit Benutzername und Passwort anmelden müssen - dies soll ein Zertifikat übernehmen welches auf dem Device installiert ist.

 

Bin ich da auf dem falschen Weg oder gibt es andere Ansätze?

[Dukel 460]

Ah. Irgendwie habe ich SharePoint mit reingelesen.

Aber der Link von Zahni sollte passen.

[zahni 566]

@Chrigo,

 

Du musst nur schaffen, auf dem mobilen Device das Client-Zertifikat  samt Private key (den braucht man hier) zu importieren. Auch sollte ein funktionierender Online-Responder installiert sein. Du musst testen, wann der IIS zurückgezogene Client-Zertifikate als solche erkennt. Über die CRL kann das etwas dauern.

 

Ansonsten habe ich keinen Plan, wie man hier mit mobilen Geräten umgehen sollte ;).

[chrigo 0]

Danke für eure Beiträge!

 

Der link von "zahni" sieht schon sehr vielversprechend aus.

Ich werde es Morgen mal versuchen..

[chrigo 0]

Es hat funktioniert!! Vielen Dank!

 

Nun ist noch das Problem, wie erstelle ich das Zertifikat auf dem Mobilegerät (Windows und iOS)?

Auf dem Windows-Computer konnte ich ohne Probleme ein neues Zertifikat anfordern und dieses dann exportieren und den Key im IIS hinterlegen.

 

Doch wie macht man das auf Mobiledevices?

[Dukel 460]

Hast du ein MDM (Mobile Device Management)?

[chrigo 0]

Nein leider nicht.. geht's auch ohne?

[Dukel 460]

Vermutlich auch irgendwie. Das will man aber nicht. Vor allem hast du ohne ein MDM kaum Kontrolle Über die Geräte.

[zahni 566]

Umständlich: Das Zertifikat für den User erstellen (am Besten über das Web Enrollment).

Der Private Key muss dabei als exportierbar markiert sein.

nun das erstellte Zertifikat im eigenen Browser importieren, weil Web Enrollment keine Möglichkeit zum Speichern bietet).

Nun das Zertifikat im Browser samt Private Key und Root-Zertifikat in eine PFX-Datei exportieren.

Ob man die nun am mobilen Devices importieren kann? 

Bei unseren Websphere-Servern klappt es  jedenfalls ;)

[chrigo 0]

Wir haben nun ein AD Zertifikat erstellt und dieses verteilt.

Nun funktioniert alles so wie es soll.

 

Danke für eure Hilfe!!