In Abhängigkeit von den für den Zertifikatregistrierungs-Webdienst ausgewählten Installationsoptionen müssen Sie möglicherweise auch die Delegierung für den Webdienst konfigurieren, um Zertifikatanforderungen im Auftrag von Domänenbenutzern und Computern zu senden.

Wenn alle folgenden Bedingungen zutreffen, müssen Sie die Delegierung für das Webdienstkonto konfigurieren:

  • Die Zertifizierungsstelle (Certification Authority, CA) und der Zertifikatregistrierungs-Webdienst sind auf separaten Computern installiert.

  • Der Authentifizierungstyp des Webdiensts ist Integrierte Windows-Authentifizierung oder Clientzertifikatsauthentifizierung.

  • Der Webdienst ist nicht für den Nur-Erneuerungsmodus konfiguriert.

Sie müssen mindestens Mitglied der Gruppe Domänen-Admins sein, um dieses Verfahren ausführen zu können.

Für den Anwendungspool des Zertifikatregistrierungs-Webdiensts kann die Verwendung eines Domänenbenutzerkontos oder eines integrierten Kontos wie z. B. ApplicationPoolIdentity oder Netzwerkdienst konfiguriert werden. Falls ein Domänenbenutzerkonto angegeben ist, führen Sie vor dem Konfigurieren der Delegierung den ersten Schritt aus, um dem Kontoobjekt einen Dienstprinzipalnamen (Service Principal Name, SPN) hinzuzufügen.

So konfigurieren Sie die Delegierung
  1. (Nur Domänenbenutzerkonten) Um einen Dienstprinzipalnamen für ein Domänenbenutzerkonto hinzuzufügen, geben Sie an einer Eingabeaufforderung setspn –s http/Host Domain\Account ein. Dabei steht Host für den Computernamen des Webservers, von dem der Zertifikatregistrierungs-Webdienst gehostet wird, und Domain\Account für das vom Webdienstanwendungspool verwendete Domänenkonto.

  2. Öffnen Sie Active Directory-Benutzer und -Computer.

  3. Erweitern Sie in der Konsolenstruktur die Domäne, die das vom Anwendungspool verwendete Konto enthält.

  4. Klicken Sie auf Computer, falls die Anwendungspoolidentität Netzwerkdienst lautet. Klicken Sie andernfalls auf Benutzer.

  5. Doppelklicken Sie im Detailbereich auf das Konto, und klicken Sie dann auf die Registerkarte Delegierung.

  6. Klicken Sie auf Benutzer bei Delegierungen angegebener Dienste vertrauen.

  7. Aktivieren Sie das Kontrollkästchen Nur Kerberos verwenden, falls der Authentifizierungstyp des Webdiensts Integrierte Windows-Authentifizierung ist. Aktivieren Sie das Kontrollkästchen Beliebiges Authentifizierungsprotokoll verwenden, falls der Authentifizierungstyp des Webdiensts Clientzertifikatsauthentifizierung ist.

  8. Klicken Sie auf Hinzufügen, und klicken Sie dann auf Benutzer oder Computer.

  9. Geben Sie den Namen des Computers ein, von dem die Zertifizierungsstelle gehostet wird, und klicken Sie dann auf OK.

  10. Klicken Sie in der Liste Verfügbare Dienste auf HOST und rpcss, und klicken Sie anschließend auf OK. Halten Sie die STRG-Taste gedrückt, um mehrere Elemente auszuwählen.

  11. Klicken Sie auf OK, um die Änderungen zu speichern.

Weitere Verweise


Inhaltsverzeichnis