A seconda delle opzioni di installazione selezionate per il Servizio Web di registrazione certificati, può essere inoltre necessario configurare la delega per il servizio Web per l'invio di richieste di certificati per conto degli utenti e dei computer del dominio.

È necessario configurare la delega per l'account del servizio Web se si verificano tutte le condizioni seguenti:

  • L'autorità di certificazione (CA) e il Servizio Web di registrazione certificati sono installati in computer separati.

  • Il tipo di autenticazione del servizio Web corrisponde all'autenticazione integrata di Windows o all'autenticazione certificati client.

  • Il servizio Web non è configurato per la modalità di solo rinnovo.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins.

È possibile configurare il pool di applicazioni del Servizio Web di registrazione certificati per l'utilizzo di un account utente di dominio o di un account predefinito, ad esempio ApplicationPoolIdentity o Servizio di rete. Se si specifica un account utente di dominio, prima di configurare la delega aggiungere un nome principale di servizio (SPN) all'oggetto account mediante il primo passaggio.

Per configurare la delega
  1. Solo per account utente di dominio. Per aggiungere un SPN per un account utente di dominio, digitare setspn –s http/Host Domain\Account, dove Host corrisponde al nome computer del server Web che ospita il Servizio Web di registrazione certificati e Domain\Account corrisponde all'account di dominio utilizzato dal pool di applicazioni del servizio Web.

  2. Aprire Utenti e computer di Active Directory.

  3. Nell'albero della console, espandere il dominio contenente l'account utilizzato dal pool di applicazioni.

  4. Se l'identità del pool di applicazioni è Servizio di rete, fare clic su Computer. In caso contrario, fare clic su Utenti.

  5. Nel riquadro dei dettagli fare doppio clic sull'account e quindi fare clic sulla scheda Delega.

  6. Fare clic su Utente attendibile per la delega solo ai servizi specificati.

  7. Se il tipo di autenticazione del servizio Web corrisponde all'autenticazione integrata di Windows, selezionare la casella di controllo Usa solo Kerberos. Se il tipo di autenticazione del servizio Web corrisponde all'autenticazione certificati client, selezionare la casella di controllo Usa un qualsiasi protocollo di autenticazione.

  8. Fare clic su Aggiungi e quindi su Utenti o computer.

  9. Immettere il nome del computer che ospita l'autorità di certificazione e quindi fare clic su OK.

  10. Nell'elenco Servizi disponibili fare clic su HOST e su rpcss e quindi fare clic su OK. Per selezionare più elementi tenere premuto CTRL.

  11. Fare clic su OK per salvare le modifiche.

Ulteriori riferimenti


Argomenti della Guida