根据为证书注册 Web 服务选择的安装选项,可能还需要为 Web 服务配置委派以代表域用户和计算机提交证书申请。

如果满足所有以下条件,则必须为 Web 服务帐户配置委派:

  • 证书颁发机构 (CA) 和证书注册 Web 服务安装在不同的计算机上。

  • Web 服务身份验证类型为 Windows 集成身份验证或客户端证书身份验证。

  • 没有为仅续订模式配置 Web 服务。

Domain Admins 是完成此过程所需的最低组成员身份。

可以将证书注册 Web 服务应用程序池配置为使用域用户帐户或内置帐户,如 ApplicationPoolIdentity 或网络服务。如果指定了域用户帐户,则在配置委派之前完成第一步,以向帐户对象中添加服务主体名称 (SPN)。

配置委派的步骤
  1. (仅限域用户帐户)若要为域用户帐户添加 SPN,请在命令提示符下,键入 setspn –s http/Host Domain\Account,其中 Host 是承载证书注册 Web 服务的 Web 服务器的计算机名,Domain\Account 是 Web 服务应用程序池使用的域帐户。

  2. 打开“Active Directory 用户和计算机”。

  3. 在控制台树中,展开包含应用程序池使用的帐户的域。

  4. 如果应用程序池标识是“网络服务”,则单击“计算机”。否则,单击“用户”

  5. 在细节窗格中,双击帐户,然后单击“委派”选项卡。

  6. 单击“仅信任此用户作为指定服务的委派”

  7. 如果 Web 服务身份验证类型为 Windows 集成身份验证,则选中“仅使用 Kerberos”复选框。如果 Web 服务身份验证类型为客户端证书身份验证,则选中“使用任何身份验证协议”复选框。

  8. 单击“添加”,然后单击“用户或计算机”

  9. 输入承载 CA 的计算机的名称,然后单击“确定”

  10. “可用服务”列表中,单击 HOSTrpcss,然后单击“确定”。按下 Ctrl 键可选择多个项目。

  11. 单击“确定”以保存更改。

其他参考


目录