证书注册 Web 服务可以处理新证书以及证书续订的注册申请。在这两种情况下,客户端计算机将申请提交给 Web 服务,然后 Web 服务代表客户端计算机将申请提交给证书颁发机构 (CA)。因此,必须信任 Web 服务帐户的委派才能将客户端标识提供给 CA。
证书注册 Web 服务通过 Internet 接受申请会增加安全风险,并且某些组织可能选择不信任 Web 服务帐户的委派。可以为仅续订模式配置证书注册 Web 服务,以降低通过 Internet 接受申请的风险。
在仅续订模式中,Web 服务将只接受证书续订申请,而拒绝新证书的申请。若要支持仅续订模式,必须将 CA 配置为使用续订申请和客户端计算机的现有证书上的签名对客户端计算机进行身份验证。在此配置中,不需要信任 Web 服务帐户的委派。
仅续订模式具有以下要求:
- 运行 Windows Server 2008 R2 的企业 CA。
- 运行 Windows 7 或 Windows Server 2008 R2 的客户端计算机。
- 申请证书续订的客户端计算机必须拥有一个未过期并且可以由颁发 CA 进行验证的证书。
Enterprise Admins 是完成此过程所需的最低组成员身份。
 | 为仅续订模式配置证书注册 Web 服务的步骤 |
打开“服务器管理器”。
在控制台树中,单击“角色”。
如果“角色摘要”页上显示“Active Directory 证书服务”,则单击“添加角色服务”,并继续进行下一步。如果没有显示,则完成以下步骤,然后继续执行操作:
- 在“角色摘要”页上,单击“添加角色”。
- 在“开始之前”页上,单击“下一步”。
- 在“选择服务器角色”页上,单击“Active Directory 证书服务”,然后单击“下一步”。
- 查看“Active Directory 证书服务简介”页上的信息,然后单击“下一步”。
- 在“角色摘要”页上,单击“添加角色”。
在“选择角色服务”页上,选中“证书注册 Web 服务”复选框。
注意 添加 AD CS 角色时,会自动选择证书颁发机构角色服务,但该服务不能与证书注册 Web 服务同时安装。如果您想同时安装 CA 和证书注册 Web 服务,请首先完成 CA 安装。请参阅设置 Active Directory 证书服务。
当系统提示安装必需的角色服务和功能时,单击“添加必需的角色服务”,然后单击“下一步”。
若要指定 CA,请单击“CA 名称”或“计算机名”,然后单击“浏览”。选择 CA 或键入计算机名,然后单击“确定”。
选中“为仅续订模式配置证书注册 Web 服务”复选框。
在“选择身份验证类型”页上,单击“用户名和密码”或“客户端证书身份验证”。
在“指定帐户凭据”页上,单击“指定服务帐户”或“使用内置应用程序池标识”。若要指定服务帐户,请单击“选择”,键入域帐户用户名和密码,然后单击“确定”。单击“下一步”。
选择现有服务器证书,单击“导入”以导入证书文件或单击“稍后选择并分配服务器证书”,然后单击“下一步”。有关详细信息,请参阅为证书注册 Web 服务配置服务器证书。
在“Web 服务器简介(IIS)”页上,单击“下一步”。
在“选择角色服务”页上,查看所选择的角色服务,然后单击“下一步”。
查看“确认安装选择”页上的信息,然后单击“安装”。
查看“安装结果”页上的消息。可能需要先执行一些附加任务来配置证书注册 Web 服务,然后用户才能提交申请。
使用以下命令可以配置和重新启动 Active Directory 证书服务。在此配置中,CA 还可以处理新证书的申请。
| 配置 CA 以支持仅续订模式的步骤 |
在 CA 的命令提示符下,键入 certutil –setreg policy\editflags +enablerenewonbehalfof,然后按 Enter。
打开“证书颁发机构”管理单元。
在控制台树中,右键单击 CA,然后单击“属性”。
单击“安全”选项卡。
如果 Web 服务帐户显示在“组或用户名”中,请验证选中了“读取”权限。如果没有显示 Web 服务帐户,则完成以下步骤:
- 单击“添加”。
- 键入帐户名,然后单击“检查名称”。如果没有找到该名称,则单击“对象类型”并确保选择了正确的帐户类型。找到正确的帐户名之后,单击“确定”。
- 选中“读取”复选框,然后单击“确定”。
- 单击“添加”。
键入 sc stop certsvc,然后按 Enter。
键入 sc start certsvc,然后按 Enter。
其他参考