В зависимости от выбранных параметров установки для веб-службы регистрации сертификата, возможно, потребуется настроить делегирование, которое позволит передавать запросы сертификатов от имени пользователей и компьютеров домена.

Если справедливы все из перечисленных ниже условий, необходимо настроить делегирование для учетной записи веб-службы.

  • Центр сертификации и веб-служба регистрации сертификатов установлены на отдельных компьютерах.

  • Для веб-службы используется встроенная проверка подлинности Windows или проверка подлинности сертификата клиента.

  • Веб-служба не настроена на режим «только обновление».

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы домена.

Для пула приложений веб-службы регистрации сертификатов можно настроить использование учетной записи пользователя домена или встроенной учетной записи, такой как ApplicationPoolIdentity или «Сетевая служба». Если указана учетная запись пользователя домена, перед настройкой делегирования выполните первое действие для добавления имени участника-службы в объект учетной записи.

Настройка делегирования

  1. (Только для учетных записей пользователей домена.) Чтобы добавить имя участника-службы для учетной записи пользователя домена, в командной строке введите setspn –s http/Host Domain\Account, где Host - имя компьютера, на котором находится веб-сервер, поддерживающий веб-службу регистрации сертификатов, а Domain\Account - учетная запись домена, используемая пулом приложений веб-службы.

  2. Откройте оснастку «Пользователи и компьютеры Active Directory».

  3. В дереве консоли разверните домен, в котором содержится учетная запись, используемая пулом приложений.

  4. Если используется идентификатор пула приложений «Сетевая служба», щелкните Компьютеры. В противном случае щелкните Пользователи.

  5. В области сведений дважды щелкните учетную запись, а затем перейдите на вкладку Делегирование.

  6. Щелкните Доверять этому пользователю при делегировании указанных служб.

  7. Если для веб-службы используется встроенная проверка подлинности Windows, установите флажок Использовать только Kerberos. Если для веб-службы используется проверка подлинности сертификата клиента, установите флажок Использовать любой протокол проверки подлинности.

  8. Нажмите кнопку Добавить, затем щелкните Пользователи или компьютеры.

  9. Введите имя компьютера, на котором находится центр сертификации, и нажмите кнопку ОК.

  10. В списке Доступные службы выберите HOST и rpcss, затем нажмите кнопку ОК. Чтобы выбрать несколько элементов, удерживайте нажатой клавишу CTRL.

  11. Нажмите кнопку ОК для сохранения изменений.

Дополнительные источники информации

Содержание