A Tanúsítványigénylés webszolgáltatás feldolgozhat új tanúsítványigénylési, illetve tanúsítvány-megújítási kéréseket. Mindkét esetben az ügyfélszámítógép elküldi a kérést a webszolgáltatáshoz, amely az ügyfélszámítógép nevében továbbítja azt a hitelesítésszolgáltatóhoz. Ezért a webszolgáltatás fiókjának delegálásra vonatkozó megbízhatósággal kell rendelkeznie, hogy azonosíthassa az ügyfelet a hitelesítésszolgáltató felé.

Az interneten keresztül kapott kérések a Tanúsítványigénylés webszolgáltatás általi elfogadása megnövekedett biztonsági kockázatokat jelent, ezért bizonyos szervezetek mellőzhetik a webszolgáltatás delegálásra való megbízását. A Tanúsítványigénylés webszolgáltatás az interneten érkező kérések fogadásával járó kockázat csökkentése érdekében Csak megújítás üzemmódra is konfigurálható.

Csak megújítás üzemmódban a webszolgáltatás csak tanúsítvány-megújítási kérelmeket fogad, az új tanúsítványigényléseket visszautasítja. A Csak megújítás üzemmód támogatásához a hitelesítésszolgáltatót úgy kell konfigurálnia, hogy a megújítási kérelem és az ügyfélszámítógép meglévő tanúsítványának aláírását használja az ügyfélszámítógép hitelesítéséhez. Ezen beállítások esetén nem szükséges a webszolgáltatás delegálással való megbízása.

A Csak megújítás mód használatának követelményei:

  • Windows Server 2008 R2 rendszerű vállalati hitelesítésszolgáltató.

  • Windows 7 vagy Windows Server 2008 R2 rendszerű ügyfélszámítógépek.

  • A tanúsítvány-megújítást kérő ügyfélszámítógépeknek olyan tanúsítványra van szükségük, amely nem járt le, és ellenőrizhető a kibocsátó hitelesítésszolgáltató által.

Az eljárás végrehajtásához szükséges minimális csoporttagság: Vállalati rendszergazdák.

A Tanúsítványigénylési webszolgáltatás beállítása Csak megújítás módhoz

  1. Nyissa meg a Kiszolgálókezelőt.

  2. A konzolfán kattintson a Szerepkörök elemre.

  3. Ha a Szerepkörök összegzése lapon az Active Directory tanúsítványszolgáltatások elem látható, válassza a Szerepkör-szolgáltatás hozzáadása lehetőséget. Ha az elem nem látható, a folytatás előtt a következő lépéseket kell végrehajtania:

    1. A Szerepkörök összegzése lapon kattintson a Szerepkör hozzáadása elemre.

    2. Az Alapismeretek lapon kattintson a Tovább gombra.

    3. A Kiszolgálói szerepkörök kiválasztása lapon válassza az Active Directory tanúsítványszolgáltatások lehetőséget, majd kattintson a Tovább gombra.

    4. Tekintse át az Active Directory tanúsítványszolgáltatások - bevezetés lapon található információkat, majd kattintson a Tovább gombra.

  4. A Szerepkör-szolgáltatások kiválasztása lapon jelölje be a Tanúsítványigénylés webszolgáltatás jelölőnégyzetet.

    Megjegyzés

    A Hitelesítésszolgáltató szerepkör-szolgáltatás automatikusan bejelölődik az Active Directory tanúsítványszolgáltatások szerepkör hozzáadásakor, de nem telepíthető egyszerre a Tanúsítványigénylés webszolgáltatással. Ha a hitelesítésszolgáltatót és a Tanúsítványigénylés webszolgáltatást is telepíteni szeretné, előbb fejezze be a hitelesítésszolgáltató telepítését. Lásd: Az Active Directory tanúsítványszolgáltatások beállítása – áttekintés

  5. Amikor a rendszer kéri a szükséges szerepkör- és egyéb szolgáltatások telepítését, kattintson a Szükséges szerepkör-szolgáltatások hozzáadása, majd a Tovább gombra.

  6. Hitelesítésszolgáltató megadásához kattintson a Hitelesítésszolgáltató vagy a Számítógépnév elemre, majd a Tallózás gombra. Jelöljön ki egy hitelesítésszolgáltatót vagy írjon be egy számítógépnevet, majd kattintson az OK gombra.

  7. Jelölje be A Tanúsítványigénylés webszolgáltatás beállítása a Csak megújítás mód használatához jelölőnégyzetet.

  8. A Hitelesítés típusának megadása lapon jelölje be a Felhasználónév és jelszó vagy az Ügyféltanúsítvány-alapú hitelesítés választógombot.

  9. A Fiók hitelesítő adatainak megadása lapon kattintson a Szolgáltatásfiók megadása vagy a Beépített alkalmazáskészlet identitásának használata elemre. Szolgáltatásfiók megadásához kattintson a Kijelölés gombra, írja be egy tartományi felhasználói fiók nevét és jelszavát, majd kattintson az OK gombra. Kattintson a Tovább gombra.

  10. Jelöljön ki egy létező kiszolgálói tanúsítványt, majd kattintson az Importálás gombra egy tanúsítványfájl importálásához, vagy válassza a Tanúsítvány kiválasztásának elhalasztása lehetőséget, majd kattintson a Tovább gombra. Részleteket a Kiszolgálói tanúsítványok beállítása a Tanúsítványigénylési webszolgáltatáshoz című témakörben találhat.

  11. A Webkiszolgáló (IIS) bemutatása lapon kattintson a Tovább gombra.

  12. A Szerepkör-szolgáltatások kiválasztása lapon tekintse át a kiválasztott szerepkör-szolgáltatásokat, majd kattintson a Tovább gombra.

  13. Tekintse át az adatokat a Telepítendők megerősítése lapon, majd kattintson a Telepítés gombra.

  14. A Telepítés eredménye lapon tekintse meg az üzeneteket. Előfordulhat, hogy a Tanúsítványigénylés webszolgáltatás konfigurálásához további műveletekre is szükség van ahhoz, hogy a felhasználók kérelmeket küldhessenek.

Ezekkel a beállításokkal konfigurálhatja és indíthatja újra az Active Directory tanúsítványszolgáltatásokat. Ebben a konfigurációban a hitelesítésszolgáltató az új tanúsítványigényléseket is feldolgozza.

A hitelesítésszolgáltató konfigurálása a Csak megújítás üzemmód támogatásához

  1. A hitelesítésszolgáltatót futtató számítógépen a parancssorba írja be a certutil –setreg policy\editflags +enablerenewonbehalfof parancsot, majd nyomja le az ENTER billentyűt.

  2. Nyissa meg a Hitelesítésszolgáltató beépülő modult.

  3. A konzolfában kattintson a jobb gombbal a hitelesítésszolgáltatóra, majd kattintson a Tulajdonságok parancsra.

  4. Kattintson a Biztonság fülre.

  5. Ha a webszolgáltatás fiókja látható a Csoport vagy felhasználó neve területen, ellenőrizze az Olvasás engedély kiválasztását. Ha a webszolgáltatás fiókja nem szerepel itt, a következő lépéseket kell végrehajtania:

    1. Kattintson a Hozzáadás gombra.

    2. Írja be a fiók nevét, és kattintson a Névellenőrzés gombra. Ha a név nem található, kattintson az Objektumtípusok gombra annak ellenőrzéséhez, hogy a megfelelő fióktípus van-e kiválasztva. A megfelelő fióknév megtalálását követően kattintson az OK gombra.

    3. Jelölje be az Olvasás jelölőnégyzetet, és kattintson az OK gombra.

  6. Írja be az sc stop certsvc parancsot, és nyomja le az ENTER billentyűt.

  7. Írja be az sc start certsvc parancsot, és nyomja le az ENTER billentyűt.

További hivatkozások

Tartalom