Afhankelijk van de installatieopties die u voor de webservice Certificaatinschrijving hebt geselecteerd, zult u waarschijnlijk ook nog de delegatie voor deze webservice moeten configureren, omdat er anders geen certificaataanvragen namens domeingebruikers en -computers kunnen worden verstuurd.

Als er aan alle volgende voorwaarden wordt voldaan, moet u de delegatie voor het webserviceaccount configureren:

  • De certificeringsinstantie en de webservice Certificaatinschrijving zijn op verschillende computers geïnstalleerd.

  • Het verificatietype van de webservice is een Windows-verificatie of de certificaatverificatie van een client.

  • De webservice is niet geconfigureerd voor de modus Alleen vernieuwen.

Het minimaal vereiste groepslidmaatschap om deze procedure te voltooien, is Domeinadministrators.

De toepassingsgroep van de webservice Certificaatinschrijving kan worden geconfigureerd voor gebruik van een domeingebruikersaccount of een ingebouwd account, zoals ApplicationPoolIdentity of Netwerkservice. Als er een domeingebruikersaccount is opgegeven, voert u de eerste stap uit waarmee een SPN (principal-naam voor service) aan het accountobject wordt toegevoegd voordat de delegatie wordt geconfigureerd.

Delegatie configureren
  1. (Alleen voor domeingebruikersaccounts) U voegt een SPN-naam voor een domeingebruikersaccount toe door op de opdrachtprompt setspn –s http/Host Domain\Account te typen, waarbij Host de computernaam van de webserver met de webservice Certificaatinschrijving is en Domain\Account het domeinaccount is dat door de toepassingsgroep van de webservice wordt gebruikt.

  2. Open Active Directory - gebruikers en computers.

  3. Vouw in de consolestructuur het domein uit dat het account bevat dat door de toepassingsgroep wordt gebruikt.

  4. Als 'netwerkservice' de identiteit van de toepassingsgroep is, klikt u op Computers. Als dat niet zo is, klikt u op Gebruikers.

  5. Dubbelklik in het detailvenster op het account en klik op het tabblad Delegatie.

  6. Klik op Deze gebruiker mag alleen aan de opgegeven services delegeren.

  7. Als het verificatietype van de webservice de Windows-verificatie is, schakelt u het selectievakje Alleen Kerberos gebruiken in. Als het verificatietype van de webservice de certificaatverificatie van de client is, schakelt u het selectievakje Elk willekeurig protocol voor verificatie gebruiken in.

  8. Klik op Toevoegen en vervolgens op Gebruikers of computers.

  9. Typ de naam van de computer die de certificeringsinstantie host, en klik op OK.

  10. Klik in de lijst Beschikbare services op HOST en rpcss en klik vervolgens op OK. Als u meerdere items wilt selecteren, houdt u de CTRL-toets ingedrukt.

  11. Klik op OK om de wijzigingen op te slaan.

Aanvullende naslaginformatie


Inhoudsopgave