Adición de asignaciones uno a uno <add>
Información general
El elemento <add>
del elemento <oneToOneMappings>
especifica una asignación única entre un certificado de cliente individual y una cuenta de usuario individual.
Nota:
Las asignaciones de certificados uno a uno difieren de asignaciones de certificados de varios a uno, que pueden asignar varios certificados a una sola cuenta de usuario.
Compatibilidad
Versión | Notas |
---|---|
IIS 10.0 | El elemento <add> no se modificó en IIS 10.0. |
IIS 8.5 | El elemento <add> no se modificó en IIS 8.5. |
IIS 8.0 | El elemento <add> no se modificó en IIS 8.0. |
IIS 7.5 | El elemento <add> no se modificó en IIS 7.5. |
IIS 7.0 | El elemento <add> del elemento <oneToOneMappings> se introdujo en IIS 7.0. |
IIS 6,0 | El elemento <oneToOneMappings> reemplaza el objeto de metabase IIS 6.0 IIsCertMapper. |
Configuración
El elemento <iisClientCertificateMappingAuthentication>
no está disponible en la instalación predeterminada de IIS 7 y versiones posteriores. Para instalarlo, siga estos pasos.
Windows Server 2012 o Windows Server 2012 R2
- En la barra de tareas, haga clic en Administrador del servidor.
- En Administrador del servidor, haga clic en el menú Administrar y después en Agregar roles y características.
- En el asistente para Agregar roles y características, haga clic en Siguiente. Seleccione el tipo de instalación y haga clic en Siguiente. Seleccione el servidor de destino y haga clic en Siguiente.
- En la página Roles de servidor, expanda Servidor web (IIS), expanda Servidor web, expanda Seguridad y, a continuación, seleccione Autenticación de asignación de certificado de cliente IIS. Haga clic en Next.
. - En la página Seleccionar características, haz clic en Siguiente.
- En la página Confirmar selecciones de instalación, haga clic en Instalar.
- En la página Resultados , haga clic en Cerrar.
Windows 8 o Windows 8.1
- En la pantalla Inicio, mueva el puntero hasta la esquina inferior izquierda, haga clic con el botón derecho en el botón Inicio y, a continuación, haga clic en Panel de control.
- En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.
- Expanda Internet Information Services, expanda Servicios World Wide Web, expanda Seguridad y, a continuación, seleccione Autenticación de asignación de certificados de cliente de IIS.
- Haga clic en OK.
- Haga clic en Cerrar.
Windows Server 2008 o Windows Server 2008 R2
- En la barra de tareas, haga clic en Inicio, seleccione Herramientas administrativas y, luego, haga clic en Administrador del servidor.
- En el panel de jerarquía del Administrador del servidor, expanda Roles y, luego, haga clic en Servidor web (IIS).
- En el panel Servidor web (IIS), desplácese hasta la sección Servicios de rol y, luego, haga clic en Agregar servicios de rol.
- En la página Seleccionar servicios de rol del Asistente para agregar servicios de rol, seleccione Autenticación de asignación de certificados de cliente de IIS y, a continuación, haga clic en Siguiente.
- En la página Confirmar selecciones de instalación, haz clic en Instalar.
- En la página Resultados , haga clic en Cerrar.
Windows Vista o Windows 7
- En la barra de tareas, haga clic en Inicio y, luego, haga clic en Panel de control.
- En Panel de control, haga clic en Programas y características y después en Activar o desactivar las características de Windows.
- Expanda Internet Information Services, seleccione Autenticación de asignación de certificados de cliente de IIS y, a continuación, haga clic en Aceptar.
Procedimientos
No hay ninguna interfaz de usuario para configurar la autenticación de asignación de certificados de cliente de IIS en IIS 7. Para obtener ejemplos de cómo configurar la autenticación de asignación de certificados de cliente de IIS con programación, consulte la sección Código de ejemplo de este documento.
Configuración
Atributos
Atributo | Descripción |
---|---|
certificate |
Atributo de cadena necesario. Especifica el certificado público codificado en base64 a partir de un certificado de cliente. IIS comparará este certificado con la copia del certificado enviado a través de Internet por un cliente web. Las dos cadenas de datos deben ser idénticas para que continúe la asignación. Si un cliente obtiene otro certificado, no coincidirá con el original, incluso si la copia contiene toda la misma información de usuario que el original. Si hay saltos de línea en la cadena codificada en base64 del certificado de cliente en este atributo, debe quitarlos. Los saltos de línea pueden interferir con la capacidad del servidor de comparar el certificado del servidor con el certificado enviado por el explorador. |
enabled |
Atributo Boolean opcional. Especifica si la asignación uno a uno está habilitada. El valor predeterminado es true . |
password |
Atributo de cadena opcional. Especifica la contraseña de la cuenta usada para autenticar a los clientes. Nota: para evitar almacenar cadenas de contraseña sin cifrar en archivos de configuración, use siempre AppCmd.exe para escribir contraseñas. Si usa estas herramientas de administración, las cadenas de contraseña se cifrarán automáticamente antes de que se escriban en los archivos de configuración XML. Esto proporciona una mejor seguridad de contraseña que almacenar contraseñas sin cifrar. |
username |
Atributo de cadena opcional. Especifica el nombre de usuario de la cuenta utilizada para autenticar a los clientes. |
Elementos secundarios
Ninguno.
Ejemplo de configuración
En el siguiente ejemplo de configuración se habilita la autenticación de asignación de certificados de cliente de IIS mediante la asignación de certificados de uno a uno para el sitio web predeterminado, se crea una asignación de certificado de uno a uno para una cuenta de usuario y se configura el sitio para requerir SSL y negociar certificados de cliente.
<location path="Default Web Site">
<system.webServer>
<security>
<access sslFlags="Ssl, SslNegotiateCert" />
<authentication>
<windowsAuthentication enabled="false" />
<anonymousAuthentication enabled="false" />
<digestAuthentication enabled="false" />
<basicAuthentication enabled="false" />
<iisClientCertificateMappingAuthentication enabled="true"
oneToOneCertificateMappingsEnabled="true">
<oneToOneMappings>
<add enabled="true"
userName="administrator"
password="[enc:57686f6120447564652c2049495320526f636b73:enc]"
certificate="Base64-Encoded-Certificate-Data" />
</oneToOneMappings>
</iisClientCertificateMappingAuthentication>
</authentication>
</security>
</system.webServer>
</location>
Cómo recuperar una cadena codificada en Base-64 de un certificado de cliente
Nota:
Para recuperar datos de certificado codificados en Base-64 para todos los ejemplos de este tema, puede exportar un certificado mediante los siguientes pasos:
Haga clic en Iniciar y, a continuación, Ejecutar.
Escriba MMC y haga clic en Aceptar.
Cuando se abra Microsoft Management Console, haga clic en Archivoy, a continuación, Agregar o quitar complementos.
En el cuadro de diálogo Agregar o quitar complementos:
- Resalte Certificados en la lista de complementos disponibles y haga clic en Agregar.
- Elija administrar certificados para Mi cuenta de usuarioy haga clic en Finalizar.
- Haga clic en Aceptar para cerrar el cuadro de diálogo.
En Microsoft Management Console:
- Expanda Certificados: usuario actual y, a continuación, Personaly, a continuación, Certificados.
- En la lista de certificados, haga clic con el botón derecho en el certificado que desea exportar y, a continuación, haga clic en Todas las tareas y, a continuación, haga clic en Exportar.
Cuando se abra el asistente para exportación de certificados:
- Haga clic en Next.
- Elija No, no exporte la clave privada y haga clic en Siguiente.
- Elija X.509 9 codificado en Base-64 (.CER) para el formato de exportación y, a continuación, haga clic en Siguiente.
- Elija guardar el certificado en el escritorio como MyCertificate.cer y haga clic en Siguiente.
- Haga clic en Finalizar; debería ver un cuadro de diálogo que indica que la exportación se realizó correctamente.
Cierre Microsoft Management Console.
Abra el archivo MyCertificate.cer que exportó con el Bloc de notas de Windows:
- Quite "-----BEGIN CERTIFICATE-----" del inicio del texto.
- Quite "-----END CERTIFICATE-----" del final del texto.
- Concatenar todas las líneas en una sola línea de texto: se trata de los datos de certificado codificados en Base-64 que usará para todos los ejemplos de este tema.
Código de ejemplo
Los siguientes ejemplos de código habilitan la autenticación de asignación de certificados de cliente IIS mediante la asignación de certificados uno a uno para el sitio web predeterminado, crean una asignación de certificados uno a uno para una cuenta de usuario y configuran el sitio para que requiera SSL y negocie certificados de cliente.
Nota:
Para recuperar los datos de certificado codificados en Base-64 para los ejemplos de código que se enumeran a continuación, puede exportar un certificado siguiendo los pasos que aparecen en la sección Detalles de configuración de este documento.
AppCmd.exe
Nota:
Debido a los caracteres de las cadenas de certificado que no se pueden analizar mediante AppCmd.exe, no debe usar AppCmd.exe para configurar asignaciones de certificados uno a uno de IIS.
C#
using System;
using System.Text;
using Microsoft.Web.Administration;
internal static class Sample
{
private static void Main()
{
using (ServerManager serverManager = new ServerManager())
{
Configuration config = serverManager.GetApplicationHostConfiguration();
ConfigurationSection iisClientCertificateMappingAuthenticationSection = config.GetSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "Default Web Site");
iisClientCertificateMappingAuthenticationSection["enabled"] = true;
iisClientCertificateMappingAuthenticationSection["oneToOneCertificateMappingsEnabled"] = true;
ConfigurationElementCollection oneToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.GetCollection("oneToOneMappings");
ConfigurationElement addElement = oneToOneMappingsCollection.CreateElement("add");
addElement["enabled"] = true;
addElement["userName"] = @"Username";
addElement["password"] = @"Password";
addElement["certificate"] = @"Base-64-Encoded-Certificate-Data";
oneToOneMappingsCollection.Add(addElement);
ConfigurationSection accessSection = config.GetSection("system.webServer/security/access", "Default Web Site");
accessSection["sslFlags"] = @"Ssl, SslNegotiateCert";
serverManager.CommitChanges();
}
}
}
VB.NET
Imports System
Imports System.Text
Imports Microsoft.Web.Administration
Module Sample
Sub Main()
Dim serverManager As ServerManager = New ServerManager
Dim config As Configuration = serverManager.GetApplicationHostConfiguration
Dim iisClientCertificateMappingAuthenticationSection As ConfigurationSection = config.GetSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "Default Web Site")
iisClientCertificateMappingAuthenticationSection("enabled") = True
iisClientCertificateMappingAuthenticationSection("oneToOneCertificateMappingsEnabled") = True
Dim oneToOneMappingsCollection As ConfigurationElementCollection = iisClientCertificateMappingAuthenticationSection.GetCollection("oneToOneMappings")
Dim addElement As ConfigurationElement = oneToOneMappingsCollection.CreateElement("add")
addElement("enabled") = True
addElement("userName") = "Username"
addElement("password") = "Password"
addElement("certificate") = "Base-64-Encoded-Certificate-Data"
oneToOneMappingsCollection.Add(addElement)
Dim accessSection As ConfigurationSection = config.GetSection("system.webServer/security/access", "Default Web Site")
accessSection("sslFlags") = "Ssl, SslNegotiateCert"
serverManager.CommitChanges()
End Sub
End Module
JavaScript
var adminManager = new ActiveXObject('Microsoft.ApplicationHost.WritableAdminManager');
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST";
var iisClientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site");
iisClientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = true;
iisClientCertificateMappingAuthenticationSection.Properties.Item("oneToOneCertificateMappingsEnabled").Value = true;
var oneToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.ChildElements.Item("oneToOneMappings").Collection;
var addElement = oneToOneMappingsCollection.CreateNewElement("add");
addElement.Properties.Item("enabled").Value = true;
addElement.Properties.Item("userName").Value = "Username";
addElement.Properties.Item("password").Value = "Password";
addElement.Properties.Item("certificate").Value = "Base-64-Encoded-Certificate-Data";
oneToOneMappingsCollection.AddElement(addElement);
var accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site");
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert";
adminManager.CommitChanges();
VBScript
Set adminManager = WScript.CreateObject("Microsoft.ApplicationHost.WritableAdminManager")
adminManager.CommitPath = "MACHINE/WEBROOT/APPHOST"
Set iisClientCertificateMappingAuthenticationSection = adminManager.GetAdminSection("system.webServer/security/authentication/iisClientCertificateMappingAuthentication", "MACHINE/WEBROOT/APPHOST/Default Web Site")
iisClientCertificateMappingAuthenticationSection.Properties.Item("enabled").Value = True
iisClientCertificateMappingAuthenticationSection.Properties.Item("oneToOneCertificateMappingsEnabled").Value = True
Set oneToOneMappingsCollection = iisClientCertificateMappingAuthenticationSection.ChildElements.Item("oneToOneMappings").Collection
Set addElement = oneToOneMappingsCollection.CreateNewElement("add")
addElement.Properties.Item("enabled").Value = True
addElement.Properties.Item("userName").Value = "Username"
addElement.Properties.Item("password").Value = "Password"
addElement.Properties.Item("certificate").Value = "Base-64-Encoded-Certificate-Data"
oneToOneMappingsCollection.AddElement(addElement)
Set accessSection = adminManager.GetAdminSection("system.webServer/security/access", "MACHINE/WEBROOT/APPHOST/Default Web Site")
accessSection.Properties.Item("sslFlags").Value = "Ssl, SslNegotiateCert"
adminManager.CommitChanges()