Webová služba Zápis certifikátů slouží ke zpracování žádostí o zápis nových certifikátů a o prodloužení platnosti certifikátů. V obou případech klientský počítač zašle tuto žádost webové službě a webová služba tuto žádost jménem klientského počítače zašle certifikační autoritě. Z tohoto důvodu musí být účet webové služby důvěryhodný pro delegování, aby mohl předložit identitu klienta certifikační autoritě.
Webová služba Zápis certifikátů, která přijímá požadavky z Internetu, představuje zvýšené bezpečnostní riziko, a některé organizace se mohou rozhodnout účtu webové služby pro delegování nedůvěřovat. Webová služba Zápis certifikátů může být nakonfigurována pro režim Pouze prodloužení platnosti, čímž se zmírní riziko příjmu požadavků z Internetu.
V režimu Pouze prodloužení platnosti webová služba přijme pouze žádosti o prodloužení platnosti certifikátu. Žádosti o nové certifikáty budou odmítnuty. Pro zajištění podpory režimu Pouze prodloužení platnosti musí být certifikační autorita nakonfigurována tak, aby klientský počítač ověřovala pomocí podpisu na žádosti o prodloužení platnosti a na stávajícím certifikátu klientského počítače. Při této konfiguraci není povinnost účtu webové služby pro delegování důvěřovat.
Režim Pouze prodloužení platnosti vyžaduje splnění následujících požadavků:
- Podniková certifikační autorita se systémem Windows Server 2008 R2
- Klientské počítače se systémem Windows 7 nebo Windows Server 2008 R2.
- Klientské počítače žádající o prodloužení platnosti certifikátu musí mít certifikát, jehož platnost dosud nevypršela, a který lze ověřit vystavující certifikační autoritou.
Realizace tohoto postupu vyžaduje členství alespoň ve skupině Enterprise Admins.
Konfigurace webové služby Zápis certifikátů pro režim Pouze prodloužení platnosti |
Spusťte Správce serveru.
Ve stromu konzoly klikněte na položku Role.
Pokud je na stránce Souhrn rolí zobrazena položka Služba AD CS (Active Directory Certificate Services), klikněte na možnost Přidat služby rolí a pokračujte dalším krokem. Pokud není tato položka zobrazena, proveďte před pokračováním následující kroky:
- Na stránce Souhrn rolí klikněte na možnost Přidat role.
- Na stránce Než začnete klikněte na tlačítko Další.
- Na stránce Vybrat role serveru klikněte na možnost Služba AD CS (Active Directory Certificate Services) a potom klikněte na tlačítko Další.
- Zkontrolujte informace na stránce Úvod do služby AD CS (Active Directory Certificate Services) a klikněte na tlačítko Další.
- Na stránce Souhrn rolí klikněte na možnost Přidat role.
Na stránce Vybrat služby rolí zaškrtněte políčko Webová služba Zápis certifikátů.
Poznámka Po přidání role AD CS je automaticky vybrána služba role Certifikační autorita, nelze ji však nainstalovat současně s webovou službou Zápis certifikátů. Pokud chcete instalovat certifikační autoritu i webovou službu Zápis certifikátů, proveďte nejdříve instalaci certifikační autority. Další informace najdete v tématu Nastavení služby AD CS (Active Directory Certificate Services).
Jakmile se zobrazí výzva k instalaci požadovaných služeb a funkcí role, klikněte na možnost Přidat požadované služby rolí a poté klikněte na tlačítko Další.
Chcete-li zadat certifikační autoritu, klikněte na možnost Název certifikační autority nebo na možnost Název počítače a poté klikněte na tlačítko Procházet. Vyberte certifikační autoritu nebo zadejte název počítače a klikněte na tlačítko OK.
Zaškrtněte políčko Konfigurovat webovou službu Zápis certifikátů pro režim Pouze prodloužení platnosti.
Na stránce Vybrat typ ověření klikněte na možnost Uživatelské jméno a heslo nebo Ověření klientského certifikátu.
Na stránce Zadat pověření účtu klikněte na možnost Zadat účet služby nebo Použít předdefinovanou identitu fondu aplikací. Chcete-li zadat účet služby, klikněte na možnost Vybrat, zadejte uživatelské jméno a heslo účtu domény a klikněte na tlačítko OK. Klikněte na tlačítko Další.
Vyberte existující certifikát serveru, klikněte na možnost Import a proveďte import souboru certifikátu, nebo klikněte na možnost Zvolit a přiřadit certifikát serveru později a poté klikněte na tlačítko Další. Podrobné informace najdete v tématu Konfigurace certifikátů serveru pro webové služby Zápis certifikátů.
Na stránce Úvod do webového serveru (IIS) klikněte na tlačítko Další.
Na stránce Vybrat služby rolí zkontrolujte vybrané služby rolí a klikněte na tlačítko Další.
Přečtěte si informace na stránce Potvrdit vybrané možnosti instalace a klikněte na tlačítko Nainstalovat.
Přečtěte si případné zprávy na stránce Výsledky instalace. Ke konfiguraci webové služby Zápis certifikátů před tím, než budou uživatelé moci podávat žádosti, mohou být vyžadovány další úlohy.
Pomocí těchto příkazů proveďte konfiguraci a restartujte službu AD CS (Active Directory Certificate Services). V této konfiguraci může certifikační autorita zpracovávat také žádosti o nové certifikáty.
Konfigurace certifikační autority na podporu režimu Pouze prodloužit platnost |
Na příkazovém řádku certifikační autority zadejte příkaz certutil -setreg policy\editflags +enablerenewonbehalfof a stiskněte klávesu ENTER.
Spusťte modul snap-in Certifikační autorita.
Ve stromu konzoly klikněte pravým tlačítkem myši na certifikační autoritu a poté klikněte na příkaz Vlastnosti.
Klikněte na kartu Zabezpečení.
Pokud je v části Název skupiny nebo jméno uživatele zobrazen účet webové služby, zkontrolujte, zda je vybráno oprávnění Číst. Pokud není účet webové služby zobrazen, proveďte následující postup:
- Klikněte na tlačítko Přidat.
- Zadejte název účtu a klikněte na možnost Kontrola názvů. Pokud není název nalezen, klikněte na možnost Typy objektů a přesvědčte se, zda je vybrán správný typ účtu. Po nalezení správného názvu účtu klikněte na tlačítko OK.
- Zaškrtněte políčko Číst a klikněte na tlačítko OK.
- Klikněte na tlačítko Přidat.
Zadejte sc stop certsvc a stiskněte klávesu ENTER.
Zadejte sc start certsvc a stiskněte klávesu ENTER.
Další informace