De webservice Certificaatinschrijving kan aanvragen voor nieuwe certificaten en voor het vernieuwen van certificaten verwerken. In beide gevallen stuurt de clientcomputer de aanvraag naar de webservice en de webservice stuurt de aanvraag namens de clientcomputer naar de certificeringsinstantie (CA). Het webserviceaccount moet daarom voor delegeren worden vertrouwd om de client-id aan de certificeringsinstantie bekend te mogen maken.
De webservice Certificaatinschrijving die de aanvragen via internet accepteert, zorgt voor een verhoogd veiligheidsrisico. Sommige organisaties willen daarom het webserviceaccount niet voor delegeren vertrouwen. Deze webservice kan voor de 'alleen vernieuwen'-modus worden geconfigureerd, waardoor de risico's die kleven aan het accepteren van aanvragen via internet, worden verkleind.
In de 'alleen vernieuwen'-modus worden alleen aanvragen voor het vernieuwen van certificaten geaccepteerd. Aanvragen voor nieuwe certificaten worden geweigerd. De 'alleen vernieuwen'-modus wordt alleen ondersteund als de certificeringsinstantie is geconfigureerd voor het verifiëren van de clientcomputer met behulp van de handtekening op aanvragen voor het vernieuwen van certificaten en het bestaande certificaat van de clientcomputer. In deze configuratie is het niet noodzakelijk het webserviceaccount voor delegeren te vertrouwen.
Voor de 'alleen vernieuwen-modus' gelden de volgende vereisten:
- Een ondernemingscertificeringsinstantie met Windows Server 2008 R2.
- Clientcomputers met Windows 7 of Windows Server 2008 R2.
- Clientcomputers die aanvragen voor het vernieuwen van certificaten versturen, moeten een certificaat hebben dat niet is verlopen en dat kan worden geverifieerd door de certificeringsinstantie die dat certificaat heeft uitgegeven.
Het minimaal vereiste groepslidmaatschap om deze procedure uit te voeren, is Ondernemingsadministrators.
De webservice Certificaatinschrijving voor de 'alleen vernieuwen'-modus configureren |
Open Serverbeheer.
Klik in de consolestructuur op Functies.
Als Active Directory Certificate Services wordt weergegeven op de pagina Functieoverzicht, klikt u op Functieservices toevoegen en gaat u verder met de volgende stap. Als AD CS niet wordt weergegeven, voert u eerst de volgende stappen uit voordat u verdergaat:
- Klik in het vak Functieoverzicht op Functies toevoegen.
- Klik op de pagina Voordat u begint op Volgende.
- Selecteer Netwerktoegangsservices op de pagina Serverfuncties selecteren en klik op Volgende.
- Lees de informatie op de pagina Active Directory Domain Services en klik op Volgende.
- Klik in het vak Functieoverzicht op Functies toevoegen.
Schakel het selectievakje Webservice Certificaatinschrijving in op de pagina Functieservices selecteren.
Opmerking De functieservice Certificeringsinstantie wordt automatisch geselecteerd wanneer de AD CS-functie is toegevoegd, maar deze service kan niet tegelijk met de webservice Certificaatinschrijving worden geïnstalleerd. Als u zowel de certificeringsinstantie als de webservice Certificaatinschrijving wilt installeren, moet u eerst de certificeringsinstantie installeren. Zie Active Directory Certificate Services instellen.
Klik op Vereiste functieservices toevoegen wanneer u wordt gevraagd de functieservices en onderdelen te installeren en klik vervolgens op Volgende.
U geeft een certificeringsinstantie op door te klikken op Naam van CA of Computernaam en vervolgens op Bladeren te klikken. Selecteer een certificeringsinstantie of typ een computernaam en klik op OK.
Schakel het selectievakje Configureer de webservice Certificaatinschrijving voor de 'alleen vernieuwen'-modus in.
Klik op de pagina Verificatietype selecteren op Gebruikersnaam en wachtwoord of Verificatie clientcertificaat.
Klik op de pagina Accountreferenties opgeven op de optie Serviceaccount opgeven of De identiteit van de ingebouwde groep van toepassingen gebruiken. U geeft een serviceaccount op door te klikken op Selecteren, een gebruikersnaam en wachtwoord voor het domein in te voeren en op OK te klikken. Klik op Volgende.
Selecteer een bestaand servercertificaat, klik op Importeren om een certificaatbestand te importeren of klik op Later een servercertificaat kiezen en toewijzen en klik vervolgens op Volgende. Zie Servercertificaten configureren voor de webservice Certificaatinschrijving voor meer informatie.
Klik op de pagina Inleiding tot webserver (IIS) op Volgende.
Bekijk op de pagina Functieservices selecteren de geselecteerde functieservices en klik op Volgende.
Controleer de informatie op de pagina Bevestiging van items die voor installatie zijn geselecteerd en klik op Installeren.
Lees op de pagina Installatieresultaten de berichten door. Soms moeten er nog extra taken worden uitgevoerd om de webservice voor de certificaatinschrijving te configureren voordat er aanvragen door gebruikers kunnen worden verzonden.
Gebruik deze opdrachten om Active Directory Certificate Services te configureren en opnieuw te starten. In deze configuratie kunnen ook aanvragen voor nieuwe certificaten door de certificeringsinstantie worden verwerkt.
De certificeringsinstantie configureren voor het ondersteunen van de 'alleen vernieuwen'-modus |
Typ in de certificeringsinstantie certutil –setreg policy\editflags +enablerenewonbehalfof op de opdrachtprompt en druk op ENTER.
Open de module Certificeringsinstantie.
Klik in de consolestructuur met de rechtermuisknop op de certificeringsinstantie en klik op Eigenschappen.
Klik op het tabblad Beveiliging.
Als het webserviceaccount wordt weergegeven in Groeps- of gebruikersnamen, controleert u of de machtiging Lezen is geselecteerd. Wordt dat account niet weergegeven, dan voert u de volgende stappen uit:
- Klik op Toevoegen.
- Typ de naam van het account en klik op Namen controleren. Als de naam niet wordt gevonden, klikt u op Objecttypen en selecteert u (indien nodig) het juiste accounttype. Klik op OK als de juiste accountnaam is gevonden.
- Schakel het selectievakje Lezen in en klik op OK.
- Klik op Toevoegen.
Typ sc stop certsvc en druk op ENTER.
Typ sc start certsvc en druk op ENTER.
Aanvullende naslaginformatie