Веб-служба регистрации сертификатов может обрабатывать запросы регистрации для новых сертификатов и для обновления сертификатов. В обоих случаях клиентский компьютер передает запрос в веб-службу, а веб-служба передает запрос в центр сертификации (ЦС) от имени клиентского компьютера. Поэтому учетная запись веб-службы должна быть доверенной для делегирования, чтобы представлять идентификатор клиента в центре сертификации.

Веб-служба регистрации сертификатов, принимающая запросы из Интернета, представляет определенную угрозу для безопасности, и некоторые организации могут отказать учетной записи веб-службы в доверии для делегирования. Веб-службу регистрации сертификатов можно настроить на режим «только обновление», чтобы уменьшить риск, связанный с приемом запросов из Интернета.

В режиме «только обновление» веб-служба принимает только запросы обновления сертификатов, а запросы новых сертификатов отклоняются. Для поддержки режима «только обновление» в центре сертификации необходимо настроить проверку подлинности клиентского компьютера с использованием подписи в запросе обновления и существующего сертификата клиентского компьютера. При такой настройке не требуется доверять учетной записи веб-службы для делегирования.

К режиму «только обновление» предъявляется три требования.

  • Центр сертификации предприятия под управлением Windows Server 2008 R2.

  • Клиентские компьютеры с операционной системой Windows 7 или Windows Server 2008 R2.

  • На клиентских компьютерах, запрашивающих обновление сертификата, должен быть сертификат, который еще не устарел и который может быть проверен центром сертификации.

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы предприятия.

Настройка веб-службы регистрации сертификатов на режим «только обновление»
  1. Откройте диспетчер сервера.

  2. В дереве консоли щелкните Роли.

  3. Если на странице Сводка по ролям появляется компонент Службы сертификации Active Directory, щелкните Добавить службы ролей и перейдите к следующему действию. Если этот компонент не появляется, перед продолжением выполните следующие действия.

    1. На странице Сводка по ролям щелкните Добавить роли.

    2. На странице Прежде чем приступить к работе нажмите кнопку Далее.

    3. На странице Выбор ролей сервера щелкните Службы сертификации Active Directory и нажмите кнопку Далее.

    4. Просмотрите сведения на странице Знакомство со службами сертификации Active Directory, затем нажмите кнопку Далее.

  4. На странице Выбор служб ролей установите флажок Веб-служба регистрации сертификатов.

    Примечание

    При добавлении роли службы сертификации Active Directory автоматически выбирается служба роли центра сертификации, но ее нельзя установить одновременно с веб-службой регистрации сертификатов. Если предполагается использовать и центр сертификации, и веб-службу регистрации сертификатов, выполните сначала установку центра сертификации. См. раздел Настройка служб сертификации Active Directory.

  5. Когда предлагается установить требуемые службы ролей и компоненты, щелкните Добавить требуемые службы роли, а затем нажмите кнопку Далее.

  6. Чтобы указать центр сертификации, выберите Имя ЦС или Имя компьютера, затем нажмите кнопку Обзор. Выберите центр сертификации или введите имя компьютера и нажмите кнопку ОК.

  7. Установите флажок Настроить веб-службу регистрации сертификатов на режим «только обновление».

  8. На странице Выберите тип проверки подлинности выберите Имя пользователя и пароль или Проверка подлинности сертификата клиента.

  9. На странице Укажите данные учетной записи выберите Указать учетную запись службы или Использовать встроенный идентификатор пула приложений. Чтобы указать учетную запись службы, щелкните Выбрать, введите имя пользователя и пароль учетной записи домена и нажмите кнопку ОК. Нажмите кнопку Далее.

  10. Выберите существующий сертификат сервера, щелкните Импорт, чтобы импортировать файл сертификата, или щелкните Выбрать и назначить сертификат сервера позже, затем нажмите кнопку Далее. Дополнительные сведения см. в разделе Настройка сертификатов сервера для веб-служб регистрации сертификатов.

  11. На странице Введение в веб-сервер (IIS) нажмите кнопку Далее.

  12. На странице Выбор служб ролей просмотрите выбранные службы ролей, затем нажмите кнопку Далее.

  13. Просмотрите информацию на странице Подтвердите выбранные элементы, затем нажмите кнопку Установить.

  14. Посмотрите сообщения на странице Результаты установки. Прежде чем пользователь сможет передавать запросы, возможно, потребуется выполнить дополнительные задачи по настройке веб-службы регистрации сертификатов.

Описанные далее команды используются для настройки и перезапуска служб сертификации Active Directory. При такой настройке центр сертификации может также обрабатывать запросы новых сертификатов.

Настройка центра сертификации для поддержки режима «только обновление»
  1. В командной строке центра сертификации введите certutil -setreg policy\editflags +enablerenewonbehalfof и нажмите клавишу ВВОД.

  2. Откройте оснастку «Центр сертификации».

  3. В дереве консоли щелкните правой кнопкой мыши центр сертификации и выберите пункт Свойства.

  4. Перейдите на вкладку Безопасность.

  5. Если учетная запись веб-службы отображается в области Группы или пользователи, проверьте, выбрано ли разрешение Чтение. Если учетная запись веб-службы не отображается, выполните следующие действия:

    1. Нажмите кнопку Добавить.

    2. Введите имя учетной записи и нажмите кнопку Проверить имена. Если имя не найдено, щелкните Типы объектов и убедитесь, что выбран правильный тип учетной записи. Исправьте имя учетной записи и нажмите кнопку ОК.

    3. Установите флажок Чтение и нажмите кнопку ОК.

  6. Введите sc stop certsvc и нажмите клавишу ВВОД.

  7. Введите sc start certsvc и нажмите клавишу ВВОД.

Дополнительные источники информации


Содержание