En función de las opciones de instalación seleccionadas para el Servicio web de inscripción de certificados, puede que sea necesario configurar también la delegación para que el servicio web envíe las solicitudes de certificados en nombre de los usuarios y equipos del dominio.

Si todas las condiciones siguientes son verdaderas, debe configurar la delegación para la cuenta del servicio web:

  • La entidad de certificación (CA) y el Servicio web de inscripción de certificados están instalados en equipos independientes.

  • El tipo de autenticación del servicio web es la autenticación integrada de Windows o la autenticación de certificado de cliente.

  • El servicio web no está configurado para el modo de solo renovación.

Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Admins. del dominio.

El grupo de aplicaciones del Servicio web de inscripción de certificados se puede configurar para usar una cuenta de usuario del dominio o una cuenta integrada como ApplicationPoolIdentity o Servicio de red. Si se especifica una cuenta de usuario del dominio, complete el primer paso para agregar un nombre principal de servicio (SPN) al objeto de cuenta antes de configurar la delegación.

Para configurar la delegación

  1. (Solo cuentas de usuario del dominio) Para agregar un SPN para una cuenta de usuario del dominio, en el símbolo del sistema, escriba setspn –s http/Host Domain\Account, donde Host es el nombre de equipo del servidor web que hospeda el Servicio web de inscripción de certificados y Domain\Account es la cuenta de dominio usada por el grupo de aplicaciones del servicio web.

  2. Abra Usuarios y equipos de Active Directory.

  3. En el árbol de consola, expanda el dominio que contiene la cuenta usada por el grupo de aplicaciones.

  4. Si la identidad del grupo de aplicaciones es Servicio de red, haga clic en Equipos. De lo contrario, haga clic en Usuarios.

  5. En el panel de detalles, haga doble clic en la cuenta y, a continuación, haga clic en la ficha Delegación.

  6. Haga clic en Confiar en este usuario para la delegación solo a los servicios especificados.

  7. Si el tipo de autenticación del servicio web es la autenticación integrada de Windows, active la casilla Usar solamente Kerberos. Si el tipo de autenticación del servicio web es la autenticación de certificado de cliente, active la casilla Usar cualquier protocolo de autenticación.

  8. Haga clic en Agregar y, a continuación, haga clic en Usuarios o equipos.

  9. Escriba el nombre del equipo que hospeda la CA y, a continuación, haga clic en Aceptar.

  10. En la lista Servicios disponibles, haga clic en HOST y rpcss y, a continuación, en Aceptar. Mantenga presionada la tecla CTRL para seleccionar varios elementos.

  11. Haga clic en Aceptar para guardar los cambios.

Referencias adicionales

Tabla de contenido