Dependendo das opções de instalação selecionadas para o Serviço Web de Registro de Certificado, também poderá ser necessário configurar a delegação para que o serviço Web envie solicitações de certificado em nome dos usuários e computadores do domínio.
Se todas as seguintes condições forem verdadeiras, será necessário configurar a delegação para a conta de serviço Web:
- A autoridade de certificação (CA) e o Serviço Web de Registro de Certificado estão instalados em computadores separados.
- O tipo de autenticação do serviço Web é a autenticação integrada do Windows ou a autenticação de certificado de cliente.
- O serviço Web não está configurado para o modo somente renovação.
Admins. do Domínio é a associação de grupo mínima necessária para concluir este procedimento.
O pool de aplicativos do Serviço Web de Registro de Certificado pode ser configurado para usar uma conta de usuário de domínio ou uma conta interna, como ApplicationPoolIdentity ou Serviço de Rede. Se for especificada uma conta de usuário de domínio, conclua a primeira etapa para adicionar um nome da entidade de serviço (SPN) ao objeto de conta antes de configurar a delegação.
Para configurar a delegação |
(Somente contas de usuário de domínio) Para adicionar um SPN para uma conta de usuário de domínio, em um prompt de comando, digite setspn –s http/Host Domain\Account, onde Host é o nome do computador do servidor Web que está hospedando o Serviço Web de Registro de Certificado e Domain\Account é a conta de domínio usada pelo pool de aplicativos do serviço Web.
Abra Usuários e Computadores do Active Directory.
Na árvore de console, expanda o domínio que contém a conta usada pelo pool de aplicativos.
Se a identidade do pool de aplicativos for Serviço de Rede, clique em Computadores. Caso contrário, clique em Usuários.
No painel de detalhes, clique duas vezes na conta e clique na guia Delegação.
Clique em Confiar neste usuário para delegação apenas aos serviços especificados.
Se o tipo de autenticação do serviço Web for autenticação integrada do Windows, marque a caixa de seleção Usar apenas Kerberos. Se o tipo de autenticação do serviço Web for autenticação de certificado de cliente, marque a caixa de seleção Usar qualquer protocolo de autenticação.
Clique em Adicionar e clique em Usuários ou Computadores.
Digite o nome do computador que hospeda a autoridade de certificação e clique em OK.
Na lista Serviços Disponíveis, clique em HOST e rpcss e clique em OK. Mantenha a tecla CTRL pressionada para selecionar vários itens.
Clique em OK para salvar as alterações.
Referências adicionais