En fonction des options d’installation que vous avez sélectionnées pour le service Web Inscription de certificats, vous devrez peut-être également configurer la délégation afin de permettre au service Web d’envoyer des demandes de certificats pour le compte d’utilisateurs et d’ordinateurs du domaine.

Si toutes les conditions suivantes sont remplies, vous devez configurer la délégation pour le compte de service Web :

  • L’autorité de certification et le service Web Inscription de certificats sont installés sur des ordinateurs distincts.

  • Le type d’authentification du service Web correspond à l’authentification intégrée de Windows ou à l’authentification de certificat client.

  • Le service Web n’est pas configuré pour le mode renouvellement seul.

Pour mener à bien cette procédure, il est nécessaire d’appartenir au minimum au groupe Admins du domaine.

Le pool d’applications du service Web Inscription de certificats peut être configuré pour utiliser un compte d’utilisateur de domaine ou un compte intégré comme ApplicationPoolIdentity ou Network Service. Si un compte d’utilisateur de domaine est spécifié, effectuez la première étape pour ajouter un nom principal du service à l’objet de compte avant de configurer la délégation.

Pour configurer la délégation

  1. (Comptes d’utilisateurs de domaine uniquement) Pour ajouter un nom principal du service à un compte d’utilisateur de domaine, à l’invite de commandes, tapez setspn –s http/Host Domain\Account, où Host est le nom d’ordinateur du serveur Web qui héberge le service Web Inscription de certificats et Domain\Account est le compte de domaine utilisé par le pool d’applications du service Web.

  2. Ouvrez Utilisateurs et ordinateurs Active Directory.

  3. Dans l’arborescence de la console, développez le domaine qui contient le compte utilisé par le pool d’applications.

  4. Si l’identité du pool d’applications est Service réseau, cliquez sur Ordinateurs. Dans le cas contraire, cliquez sur Utilisateurs.

  5. Dans le volet d’informations, double-cliquez sur le compte, puis cliquez sur l’onglet Délégation.

  6. Cliquez sur N’approuver cet utilisateur que pour la délégation aux services spécifiés.

  7. Si le type d’authentification du service Web correspond à l’authentification intégrée de Windows, activez la case à cocher Utiliser uniquement Kerberos. Si le type d’authentification du service Web correspond à l’authentification de certificat client, activez la case à cocher Utiliser tout protocole d’authentification.

  8. Cliquez sur Ajouter, puis sur Utilisateurs ou ordinateurs.

  9. Entrez le nom de l’ordinateur qui héberge l’autorité de certification, puis cliquez sur OK.

  10. Dans la liste Services disponibles, cliquez sur HOST et rpcss, puis cliquez sur OK. Maintenez enfoncée la touche Ctrl pour sélectionner plusieurs éléments.

  11. Cliquez sur OK pour enregistrer les modifications.

Références supplémentaires

Table des matières