Usługa sieci Web uzyskiwania informacji na temat rejestracji certyfikatu może przetwarzać żądania rejestracji nowych certyfikatów i żądania odnawiania certyfikatów. W obu przypadkach komputer kliencki przesyła żądanie do usługi sieci Web, a usługa sieci Web przesyła żądanie do urzędu certyfikacji w imieniu komputera klienckiego. Z tego powodu w celu przedstawienia urzędowi certyfikacji tożsamości klienta konto usługi sieci Web musi zostać określone jako zaufane na potrzeby delegowania.

Usługa sieci Web uzyskiwania informacji na temat rejestracji certyfikatu, która akceptuje żądania pochodzące z Internetu, stwarza większe zagrożenie bezpieczeństwa niż rozwiązania obsługujące żądania z innych źródeł, dlatego niektóre organizacje mogą określić, że nie będą ufać kontu usługi sieci Web na potrzeby delegowania. Usługę sieci Web uzyskiwania informacji na temat rejestracji certyfikatu można skonfigurować do korzystania z trybu Tylko odnowienie, aby ograniczyć ryzyko wynikające z akceptowania żądań pochodzących z Internetu.

W trybie Tylko odnowienie usługa sieci Web akceptuje tylko żądania odnowienia certyfikatów, a żądania nowych certyfikatów są odrzucane. Aby obsługiwać tryb Tylko odnowienie, urząd certyfikacji musi być tak skonfigurowany, aby uwierzytelniać komputer kliencki za pomocą podpisu składanego na żądaniu odnowienia oraz na istniejącym certyfikacie komputera klienckiego. W tej konfiguracji nie ma wymogu zaufania kontu usługi sieci Web na potrzeby delegowania.

Istnieją trzy wymagania trybu Tylko odnowienie:

  • Urząd certyfikacji przedsiębiorstwa z systemem Windows Server 2008 R2.

  • Komputery klienckie z systemem Windows 7 lub Windows Server 2008 R2.

  • Komputery klienckie żądające odnowienia certyfikatu muszą dysponować certyfikatem, który nie wygasł i może zostać zweryfikowany przez wystawiający urząd certyfikacji.

Do wykonania tej procedury jest wymagana przynależność co najmniej do grupy Administratorzy przedsiębiorstwa.

Aby skonfigurować Usługę sieci Web uzyskiwania informacji na temat rejestracji certyfikatu w trybie Tylko odnowienie
  1. Otwórz Menedżera serwera.

  2. W drzewie konsoli kliknij węzeł Role.

  3. Jeśli na stronie Podsumowanie ról są wyświetlane informacje Usługi certyfikatów w usłudze Active Directory, kliknij łącze Dodaj usługi ról i przejdź do następnego kroku. Jeśli te informacje nie są wyświetlane, przed kontynuowaniem pracy wykonaj następujące kroki:

    1. Na stronie Podsumowanie ról kliknij łącze Dodaj role.

    2. Na stronie Zanim rozpoczniesz kliknij przycisk Dalej.

    3. Na stronie Wybieranie ról serwera kliknij opcję Usługi certyfikatów w usłudze Active Directory, a następnie kliknij przycisk Dalej.

    4. Przejrzyj informacje na stronie Wprowadzenie do Usług certyfikatów w usłudze Active Directory, a następnie kliknij przycisk Dalej.

  4. Na stronie Wybieranie usług ról zaznacz pole wyboru Usługa sieci Web uzyskiwania informacji na temat rejestracji certyfikatu.

    Uwaga

    Usługa roli urzędu certyfikacji jest wybierana automatycznie w przypadku dodania roli usług AD CS, ale nie może zostać zainstalowana jednocześnie z Usługą sieci Web uzyskiwania informacji na temat rejestracji certyfikatu. Jeśli planowane jest zainstalowanie zarówno urzędu certyfikacji, jak i Usługi sieci Web uzyskiwania informacji na temat rejestracji certyfikatu, najpierw należy zainstalować urząd certyfikacji. Zobacz temat Konfigurowanie Usług certyfikatów w usłudze Active Directory.

  5. W odpowiedzi na wyświetlony monit kliknij opcję Dodaj wymagane usługi ról, aby zainstalować wymagane funkcje i usługi ról, a następnie kliknij przycisk Dalej.

  6. Aby określić urząd certyfikacji, kliknij opcję Nazwa urzędu certyfikacji lub Nazwa komputera, a następnie kliknij przycisk Przeglądaj. Wybierz urząd certyfikacji lub wpisz nazwę komputera, a następnie kliknij przycisk OK.

  7. Zaznacz pole wyboru Skonfiguruj Usługę sieci Web uzyskiwania informacji na temat rejestracji certyfikatu do trybu tylko odnowienia.

  8. Na stronie Wybieranie typu uwierzytelniania kliknij opcję Nazwa użytkownika i hasło lub opcję Uwierzytelnianie certyfikatu klienta.

  9. Na stronie Określanie poświadczenia konta kliknij opcję Określ konto usługi lub opcję Użyj wbudowanej tożsamości puli aplikacji. Aby określić konto usługi, kliknij opcję Wybierz, wpisz nazwę konta i hasło użytkownika domeny, a następnie kliknij przycisk OK. Kliknij przycisk Dalej.

  10. Wybierz istniejący certyfikat serwera, kliknij opcję Importuj w celu zaimportowania pliku certyfikatu lub kliknij opcję Wybierz i przypisz certyfikat serwera później, a następnie kliknij przycisk Dalej. Aby uzyskać szczegółowe informacje, zobacz temat Konfigurowanie certyfikatów serwera na potrzeby usług sieci Web dotyczących rejestrowania certyfikatów.

  11. Na stronie Wprowadzenie do serwera sieci Web (IIS) kliknij przycisk Dalej.

  12. Na stronie Wybieranie usług ról przejrzyj wybrane usługi ról, a następnie kliknij przycisk Dalej.

  13. Przejrzyj informacje na stronie Potwierdzanie opcji instalacji, a następnie kliknij przycisk Zainstaluj.

  14. Zapoznaj się z komunikatami na stronie Wyniki instalacji. Zanim użytkownicy będą mogli wysyłać żądania, może być konieczne wykonanie dodatkowych zadań w celu skonfigurowania Usługi sieci Web uzyskiwania informacji na temat rejestracji certyfikatu.

Te polecenia służą do konfigurowania i ponownego uruchamiania Usług certyfikatów w usłudze Active Directory. W tej konfiguracji urząd certyfikacji może także przetwarzać żądania nowych certyfikatów.

Aby skonfigurować urząd certyfikacji do obsługi trybu Tylko odnowienie
  1. W wierszu polecenia urzędu certyfikacji wpisz polecenie certutil -setreg policy\editflags +enablerenewonbehalfof i naciśnij klawisz ENTER.

  2. Otwórz przystawkę Urząd certyfikacji.

  3. W drzewie konsoli kliknij prawym przyciskiem myszy urząd certyfikacji, a następnie kliknij polecenie Właściwości.

  4. Kliknij kartę Zabezpieczenia.

  5. Jeśli na liście Nazwy grup lub użytkowników jest wyświetlane konto usługi sieci Web, upewnij się, że zostało zaznaczone uprawnienie Odczyt. Jeśli konto usługi sieci Web nie jest wyświetlane, wykonaj następujące kroki:

    1. Kliknij przycisk Dodaj.

    2. Wpisz nazwę konta, a następnie kliknij opcję Sprawdź nazwy. Jeśli nazwa nie została znaleziona, kliknij opcję Typy obiektów i upewnij się, że wybrano prawidłowy typ konta. Po znalezieniu poprawnej nazwy konta kliknij przycisk OK.

    3. Zaznacz pole wyboru Odczyt, a następnie kliknij przycisk OK.

  6. Wpisz ciąg sc stop certsvc, a następnie naciśnij klawisz ENTER.

  7. Wpisz ciąg sc start certsvc, a następnie naciśnij klawisz ENTER.

Dodatkowe informacje


Spis treści