Du kanske även måste konfigurera delegeringen för webbtjänsten för att skicka certifikatbegäranden åt andra domänanvändare och datorer, beroende på vilka installationsalternativ du valde för webbtjänsten för certifikatregistrering.

Om alla av följande villkor stämmer måste du konfigurera delegeringen för webbtjänstkontot:

  • Certifikatutfärdaren och webbtjänsten för certifikatregistrering är installerade på olika datorer.

  • Webbtjänstens autentiseringstyp är Windows-integrerad autentisering eller autentisering av klientcertifikat.

  • Webbtjänsten är inte konfigurerad för enbart förnyelse.

Du måste minst ha gruppmedlemskap i Domänadministratörer för att kunna slutföra den här proceduren.

Programpoolen för webbtjänsten för certifikatregistrering kan konfigureras för användning med ett domänanvändarkonto eller ett inbyggt konto, t.ex. ApplicationPoolIdentity eller nätverkstjänst. Om ett domänanvändarkonto är angivet slutför du det första steget för att lägga till ett SPN (tjänstens huvudnamn) i kontoobjektet innan du konfigurerar delegeringen.

Så här konfigurerar du delegering
  1. (Endast domänanvändarkonton) Om du vill lägga till ett SPN för ett domänanvändarkonto skriver du setspn –s http/Host Domain\Account i Kommandotolken, där Host är datornamnet på webbservern där webbtjänsten för certifikatregistrering finns och Domain\Account är domänkontot som används av programpoolen för webbtjänsten.

  2. Öppna Active Directory – användare och datorer.

  3. I konsolträdet expanderar du domänen som innehåller kontot som används av programpoolen.

  4. Om identiteten för programpoolen är Nätverkstjänst klickar du på Datorer. Annars klickar du på Användare.

  5. Dubbelklicka på kontot i informationsfönstret och klicka sedan på Delegering.

  6. Klicka på Den här användaren är betrodd för delegering endast till de tjänster som anges.

  7. Om webbtjänstens autentiseringstyp är Windows-integrerad autentisering markerar du kryssrutan Använd endast Kerberos. Om webbtjänstens autentiseringstyp är autentisering för klientcertifikat markerar du kryssrutan Använd valfritt autentiseringsprotokoll.

  8. Klicka på Lägg till och sedan på Användare eller datorer.

  9. Ange namnet på den dator där certifikatutfärdaren finns och klicka sedan på OK.

  10. I listan Tillgängliga tjänster klickar du på VÄRD och rpcss och klickar sedan på OK. Håll ned Ctrl om du vill markera flera objekt.

  11. Klicka på OK om du vill spara ändringarna.

Ytterligare referenser


Innehåll