証明書の登録 Web サービスのインストール時に選択したオプションによっては、ドメインのユーザーとコンピューターに代わって証明書要求を送信するには Web サービスの委任も構成する必要がある場合があります。

次の条件のすべてに該当する場合は、Web サービス アカウントの委任を構成する必要があります。

  • 証明機関 (CA) と証明書の登録 Web サービスが、別のコンピューターにインストールされている。

  • Web サービスの認証の種類が、Windows 統合認証またはクライアント証明書の認証である。

  • Web サービスが、書き換え専用モードで構成されていない。

この手順を完了するために最低限必要なグループ メンバーシップは、Domain Admins です。

証明書の登録 Web サービス アプリケーション プールは、ドメイン ユーザー アカウント、または ApplicationPoolIdentity や Network Service などの組み込みアカウントを使用するように構成できます。ドメイン ユーザー アカウントを指定する場合は、委任を構成する前に最初の手順を完了して、サービス プリンシパル名 (SPN) をアカウント オブジェクトに追加する必要があります。

委任を構成するには

  1. (ドメイン ユーザー アカウントのみ) ドメイン ユーザー アカウントの SPN を追加するには、コマンド プロンプトで「setspn -s http/Host Domain\Account」と入力します。Host は証明書の登録 Web サービスをホストする Web サーバーのコンピューター名であり、Domain\Account は、Web サービス アプリケーション プールで使用されるドメイン アカウントです。

  2. [Active Directory ユーザーとコンピューター] を開きます。

  3. コンソール ツリーで、アプリケーション プールで使用されるアカウントを含むドメインを展開します。

  4. アプリケーション プール ID が Network Service の場合は、[Computers] をクリックします。それ以外の場合は、[Users] をクリックします。

  5. 詳細ウィンドウで、アカウントをダブルクリックした後、[委任] タブをクリックします。

  6. [指定されたサービスへの委任でのみこのユーザーを信頼する] をクリックします。

  7. Web サービスの認証の種類が Windows 統合認証の場合は、[Kerberos のみを使う] チェック ボックスをオンにします。Web サービスの認証の種類がクライアント証明書の認証の場合は、[任意の認証プロトコルを使う] チェック ボックスをオンにします。

  8. [追加] をクリックし、[ユーザーまたはコンピューター] をクリックします。

  9. CA をホストするコンピューターの名前を入力し、[OK] をクリックします。

  10. [利用可能なサービス] の一覧の [HOST] と [rpcss] をクリックし、[OK] をクリックします。複数の項目を選択するには、Ctrl キーを押しながらクリックします。

  11. [OK] をクリックして、変更を保存します。

その他の参照情報

目次