V závislosti na možnostech instalace, které jste vybrali pro webovou službu Zápis certifikátů, může být také třeba nakonfigurovat delegování tak, aby webová služba odesílala žádosti o certifikáty jménem uživatelů a počítačů domény.
Pokud jsou pravdivé všechny následující podmínky, je třeba nakonfigurovat delegování pro účet webové služby:
- Certifikační autorita a webová služba Zápis certifikátů jsou nainstalovány v samostatných počítačích.
- Typ ověřování webové služby je integrované ověřování systému Windows nebo ověřování klientského certifikátu.
- Webová služba není nakonfigurována pro režim Pouze prodloužení platnosti.
K provedení tohoto postupu je požadováno členství minimálně ve skupině Domain Admins.
Fond aplikací webové služby Zápis certifikátů lze nakonfigurovat tak, aby používal účet uživatele domény nebo předdefinovaný účet, jako například ApplicationPoolIdentity nebo Network Service. Pokud je zadán uživatel domény, proveďte první krok a před konfigurací delegování přidejte objektu účtu hlavní název služby (SPN).
Konfigurace delegování |
(Pouze účty uživatelů domény) Chcete-li přidat hlavní název služby pro účet uživatele domény pomocí příkazového řádku, zadejte setspn –s http/Host Domain\Account, kde Host je název počítače webového serveru, který je hostitelem webové služby Zápis certifikátů, a Domain\Account je účet domény používaný fondem aplikací webové služby.
Spusťte modul snap-in Uživatelé a počítače služby Active Directory.
Ve stromu konzoly rozbalte doménu obsahující účet používaný fondem aplikací.
Pokud je identita fondu aplikací Network Service, klikněte na možnost Počítače. V opačném případě klikněte na možnost Uživatelé.
V podokně s podrobnými informacemi dvakrát klikněte pravým tlačítkem na účet a poté klikněte na kartu Delegování.
Klikněte na možnost Důvěřovat tomuto uživateli pro delegování pouze určeným službám.
Pokud je typ ověřování webové služby integrované ověřování systému Windows, zaškrtněte políčko Používající pouze protokol Kerberos. Pokud je typ ověřování webové služby ověření klientského certifikátu, zaškrtněte políčko Používající libovolný protokol pro ověřování.
Klikněte na tlačítko Přidat a potom klikněte na možnost Uživatelé nebo počítače.
Zadejte název počítače, který je hostitelem certifikační autority, a potom klikněte na tlačítko OK.
V seznamu Služby k dispozici klikněte na možnosti HOST a rpcss a poté klikněte na tlačítko OK. Chcete-li vybrat více položek, podržte klávesu CTRL.
Uložte změny kliknutím na tlačítko OK.
Další informace
- Informace o příkazu Setspn (stránka může být v angličtině) (
https://go.microsoft.com/fwlink/?LinkId=143939 ) - Instalace webové služby Zápis certifikátů
- Nastavení webových služeb Zápis certifikátů