I webbtjänsten för certifikatregistrering bearbetas registreringsbegäranden om nya certifikat och förnyelse av certifikat. I båda fallen skickar klientdatorn begäran till webbtjänsten och webbtjänsten skickar begäran till certifikatutfärdaren åt klientdatorn. Av den anledningen måste webbtjänstkontot vara betrott för delegering för att klientidentiteten ska kunna presenteras för certifikatutfärdaren.

I webbtjänsten för certifikatregistrering accepteras begäranden från Internet, vilket utgör en ökad säkerhetsrisk, och vissa företag kanske väljer att webbtjänstkontot inte ska vara betrott för delegering. Webbtjänsten för certifikatregistrering kan konfigureras för enbart förnyelse för att minska risken för att begäranden från Internet accepteras.

I läget med enbart förnyelse accepterar webbtjänsten endast begäranden om förnyelse av certifikat och begäranden om nya certifikat avvisas. Certifikatutfärdaren måste konfigureras så att klientdatorn autentiseras med signaturen på begäran om förnyelse och klientdatorns befintliga certifikat om du vill använda läget med enbart förnyelse. I den här konfigurationen behöver inte webbtjänstkontot vara betrott för delegering.

Läget med enbart förnyelse har följande krav:

  • Företagscertifikatutfärdare med Windows Server 2008 R2.

  • Klientdatorer med Windows 7 eller Windows Server 2008 R2.

  • Klientdatorer som begär förnyelse av certifikat måste ha ett certifikat som inte har upphört att gälla och kan kontrolleras av den utfärdande certifikatutfärdaren.

Du måste minst ha gruppmedlemskap i Företagsadministratörer för att kunna slutföra den här proceduren.

Så här konfigurerar du webbtjänsten för certifikatregistrering för enbart förnyelse

  1. Öppna Serverhanteraren.

  2. Klicka på Roller i konsolträdet.

  3. Om Active Directory-certifikattjänster visas på sidan Rollsammanfattning klickar du på Lägg till rolltjänster och fortsätter till nästa steg. Om det inte visas slutför du följande steg innan du fortsätter:

    1. Klicka på Lägg till roller på sidan Rollsammanfattning.

    2. Klicka på Nästa på sidan Innan du börjar.

    3. Klicka på Active Directory-certifikattjänster på sidan Välj serverroller och klicka sedan på Nästa.

    4. Läs informationen som visas på sidan Introduktion till Active Directory-certifikattjänster och klicka sedan på Nästa.

  4. Markera kryssrutan Webbtjänsten för certifikatregistrering på sidan Välj rolltjänster.

    OBS

    Rolltjänsten Certifikatutfärdare markeras automatiskt när AD CS-rollen läggs till, men det går inte att installera den samtidigt som webbtjänsten för certifikatregistrering. Om du tänker installera både certifikatutfärdaren och webbtjänsten för certifikatregistrering slutför du installationen av certifikatutfärdaren först. Information finns i Konfigurera Active Directory Certificate Services.

  5. Klicka på Lägg till nödvändiga rolltjänster när du uppmanas att installera rolltjänster och funktioner. Klicka sedan på Nästa.

  6. Om du vill ange en certifikatutfärdare klickar du antingen på Namn på certifikatutfärdare eller Datornamn och sedan på Bläddra. Välj en certifikatutfärdare eller skriv ett datornamn och klicka sedan på OK.

  7. Markera kryssrutan Konfigurera webbtjänsten för certifikatregistrering för enbart förnyelse.

  8. På sidan Välj autentiseringstyp klickar du på Användarnamn och lösenord eller Autentisering med klientcertifikat.

  9. På sidan Ange kontoautentiseringsuppgifter klickar du antingen på Ange tjänstkonto eller Använd det inbyggda programpools-ID:t. Om du vill ange ett tjänstkonto klickar du på Välj, skriver ett användarnamn och lösenord för domänkontot och klickar på OK. Klicka på Nästa.

  10. Välj ett befintligt servercertifikat, klicka på Importera om du vill importera en certifikatfil eller klicka på Välj och tilldela ett servercertifikat senare. Klicka sedan på Nästa. Information finns i Konfigurera servercertifikat för webbtjänster för certifikatregistrering.

  11. Klicka på Nästa på sidan Introduktion till Webbserver (IIS).

  12. På sidan Välj rolltjänster granskar du de markerade rolltjänsterna och klickar sedan på Nästa.

  13. Läs informationen och klicka sedan på Installera på sidan Bekräfta installationsinställningarna.

  14. Läs meddelandena på sidan Installationsresultat. Ytterligare aktiviteter kanske krävs för att konfigurera webbtjänsten för certifikatregistrering innan användare kan skicka begäranden.

Använd dessa kommandon när du vill konfigurera och starta om Active Directory-certifikattjänster. I den här konfigurationen kan certifikatutfärdaren även bearbeta begäranden om nya certifikat.

Så här konfigurerar du certifikatutfärdaren för användning med enbart förnyelse

  1. I Kommandotolken i certifikatutfärdaren skriver du certutil –setreg policy\editflags +enablerenewonbehalfof och trycker på RETUR.

  2. Öppna snapin-modulen Certifikatutfärdare.

  3. I konsolträdet högerklickar du på certifikatutfärdaren och klickar sedan på Egenskaper.

  4. Klicka på fliken Säkerhet.

  5. Om webbtjänstkontot visas i Grupp- eller användarnamn kontrollerar du att behörigheten Läsa är markerad. Om webbtjänstkontot inte visas slutför du följande steg:

    1. Klicka på Lägg till.

    2. Skriv kontonamnet och klicka på Kontrollera namn. Om du inte hittar namnet klickar du på Objekttyper och kontrollerar att rätt kontotyp är markerad. Klicka på OK när du har hittat rätt kontonamn.

    3. Markera kryssrutan Läsa och klicka sedan på OK.

  6. Skriv sc stop certsvc och tryck på RETUR.

  7. Skriv sc start certsvc och tryck på RETUR.

Ytterligare referenser

Innehåll