Em função das opções de instalação que seleccionou para o Serviço Web de Inscrição de Certificados, poderá ser necessário configurar a delegação para o serviço Web, para submeter pedidos de certificado em nome de utilizadores de domínio e computadores.

Se todas as seguintes condições da regra forem verdadeiras, terá de configurar a delegação para a conta de serviço Web:

  • A autoridade de certificação (AC) e o Serviço Web de Inscrição de Certificados estão instalados em computadores separados.

  • O tipo de autenticação do serviço Web é a autenticação integrada do Windows ou a autenticação de certificado de cliente.

  • O serviço Web não está configurado para o modo apenas de renovação.

Admins do Domínio é o requisito mínimo de associação a grupos necessário para concluir este procedimento.

O conjunto aplicacional do Serviço Web de Inscrição de Certificados pode ser configurado para utilizar uma conta de utilizador de domínio ou uma conta incorporada, como por exemplo, ApplicationPoolIdentity ou Serviço de Rede. Se uma conta de utilizador de domínio estiver especificada, conclua o primeiro passo para adicionar um SPN (Service principal name) ao objecto da conta antes de configurar a delegação.

Para configurar a delegação
  1. (Apenas contas de utilizador de domínio) Para adicionar um SPN para uma conta de utilizador de domínio, numa linha de comandos, escreva setspn –s http/Host Domain\Account, em que Host é o nome do computador do servidor Web que aloja o Serviço Web de Inscrição de Certificados e Domain\Account é a conta de domínio utilizada pelo conjunto aplicacional do serviço Web.

  2. Abra Utilizadores e Computadores do Active Directory.

  3. Na árvore da consola, expanda o domínio que contém a conta utilizada pelo conjunto aplicacional.

  4. Se a identidade do conjunto aplicacional for Serviço de Rede, clique em Computadores. Caso contrário, clique em Utilizadores.

  5. No painel de detalhes, faça duplo clique na conta de utilizador e, em seguida, clique no separador Delegação.

  6. Clique em Confiar neste utilizador para delegação apenas para os serviços especificados.

  7. Se o tipo de autenticação do serviço Web for a autenticação integrada do Windows, seleccione a caixa de verificação Utilizar apenas Kerberos. Se o tipo de autenticação do serviço Web for a autenticação de certificado de cliente, seleccione a caixa de verificação Utilizar qualquer protocolo de autenticação.

  8. Clique em Adicionar e, em seguida, clique em Utilizadores ou Computadores.

  9. Introduza o nome do computador que aloja a AC e, em seguida, clique em OK.

  10. Na lista Serviços Disponíveis, clique em ANFITRIÃO e rpcss e, em seguida, clique em OK. Mantenha premida a tecla CTRL para seleccionar vários itens.

  11. Clique em OK para guardar as alterações.

Referências adicionais


Sumário