W zależności od opcji instalacji wybranych dla Usługi sieci Web uzyskiwania informacji na temat rejestracji certyfikatu może być konieczne skonfigurowanie delegowania dla usługi sieci Web w celu przesłania żądań certyfikatów w imieniu komputerów i użytkowników domeny.

Jeśli wszystkie poniższe warunki są spełnione, delegowanie dla konta usługi sieci Web musi zostać skonfigurowane:

  • Urząd certyfikacji i Usługa sieci Web uzyskiwania informacji na temat rejestracji certyfikatu są zainstalowane na oddzielnych komputerach.

  • Typem uwierzytelniania usługi sieci Web jest uwierzytelnianie zintegrowane z systemem Windows lub uwierzytelnianie z użyciem certyfikatów klienta.

  • Usługa sieci Web nie jest skonfigurowana do korzystania z trybu Tylko odnowienie.

Do wykonania tej procedury jest wymagana przynależność co najmniej do grupy Administratorzy domeny.

Pula aplikacji Usługi sieci Web uzyskiwania informacji na temat rejestracji certyfikatu może zostać skonfigurowana do korzystania z konta użytkownika domeny lub wbudowanego konta, takiego jak konto tożsamości puli aplikacji lub konto usługi sieciowej. Jeśli jest określone konto użytkownika domeny, należy wykonać pierwszy krok procedury polegający na dodaniu głównej nazwy usługi do obiektu konta przed skonfigurowaniem delegowania.

Aby skonfigurować delegowanie
  1. (Tylko konta użytkowników domeny) Aby dodać główną nazwę usługi do konta użytkownika domeny, w wierszu polecenia wpisz setspn –s http/Host Domain\Account, gdzie Host jest nazwą komputera serwera sieci Web obsługującego Usługę sieci Web uzyskiwania informacji na temat rejestracji certyfikatu, a Domain\Account jest kontem domeny używanym przez pulę aplikacji usługi sieci Web.

  2. Otwórz przystawkę Użytkownicy i komputery usługi Active Directory.

  3. W drzewie konsoli rozwiń węzeł domeny zawierającej konto używane przez pulę aplikacji.

  4. Jeśli tożsamością puli aplikacji jest Usługa sieciowa, kliknij pozycję Komputery. W pozostałych przypadkach kliknij pozycję Użytkownicy.

  5. W okienku szczegółów kliknij dwukrotnie konto, a następnie kliknij kartę Delegowanie.

  6. Kliknij opcję Ufaj temu użytkownikowi w delegowaniu tylko do określonej usługi.

  7. Jeśli typem uwierzytelniania usługi sieci Web jest uwierzytelnianie zintegrowane z systemem Windows, zaznacz pole wyboru Użyj tylko protokołu Kerberos. Jeśli typem uwierzytelniania usługi sieci Web jest uwierzytelnianie z użyciem certyfikatów klienta, zaznacz pole wyboru Użyj dowolnego protokołu uwierzytelniania.

  8. Kliknij przycisk Dodaj, a następnie kliknij opcję Użytkownicy lub komputery.

  9. Wprowadź nazwę komputera obsługującego urząd certyfikacji, a następnie kliknij przycisk OK.

  10. Na liście Dostępne usługi kliknij pozycję HOST i pozycję rpcss, a następnie kliknij przycisk OK. Przytrzymaj wciśnięty klawisz CTRL, aby zaznaczyć wiele elementów.

  11. Kliknij przycisk OK, aby zapisać zmiany.

Dodatkowe informacje


Spis treści