根据为证书注册 Web 服务选择的安装选项,可能还需要为 Web 服务配置委派以代表域用户和计算机提交证书申请。
如果满足所有以下条件,则必须为 Web 服务帐户配置委派:
- 证书颁发机构 (CA) 和证书注册 Web 服务安装在不同的计算机上。
- Web 服务身份验证类型为 Windows 集成身份验证或客户端证书身份验证。
- 没有为仅续订模式配置 Web 服务。
Domain Admins 是完成此过程所需的最低组成员身份。
可以将证书注册 Web 服务应用程序池配置为使用域用户帐户或内置帐户,如 ApplicationPoolIdentity 或网络服务。如果指定了域用户帐户,则在配置委派之前完成第一步,以向帐户对象中添加服务主体名称 (SPN)。
 | 配置委派的步骤 |
(仅限域用户帐户)若要为域用户帐户添加 SPN,请在命令提示符下,键入 setspn –s http/Host Domain\Account,其中 Host 是承载证书注册 Web 服务的 Web 服务器的计算机名,Domain\Account 是 Web 服务应用程序池使用的域帐户。
打开“Active Directory 用户和计算机”。
在控制台树中,展开包含应用程序池使用的帐户的域。
如果应用程序池标识是“网络服务”,则单击“计算机”。否则,单击“用户”。
在细节窗格中,双击帐户,然后单击“委派”选项卡。
单击“仅信任此用户作为指定服务的委派”。
如果 Web 服务身份验证类型为 Windows 集成身份验证,则选中“仅使用 Kerberos”复选框。如果 Web 服务身份验证类型为客户端证书身份验证,则选中“使用任何身份验证协议”复选框。
单击“添加”,然后单击“用户或计算机”。
输入承载 CA 的计算机的名称,然后单击“确定”。
在“可用服务”列表中,单击 HOST 和 rpcss,然后单击“确定”。按下 Ctrl 键可选择多个项目。
单击“确定”以保存更改。
其他参考
- Setspn 命令参考 (
https://go.microsoft.com/fwlink/?LinkId=143939 )(可能为英文网页) - 安装证书注册 Web 服务
- 设置证书注册 Web 服务