按照您選取的憑證註冊 Web 服務安裝選項,您可能也需要設定網頁服務的委派以代表其他網域使用者及電腦提交憑證要求。
如果下列所有條件成立,您必須設定 Web 服務帳戶的委派:
- 憑證授權單位 (CA) 及憑證註冊 Web 服務安裝在不同的電腦上。
- Web 服務驗證類型是 Windows 整合式驗證或用戶端憑證驗證。
- Web 服務不是設定為僅更新模式。
若要完成此程序,至少需要 Domain Admins 群組成員資格。
憑證註冊 Web 服務應用程式集區可以設定為使用網域使用者帳戶或內建帳戶,例如 ApplicationPoolIdentity 或 Network Service。如果指定網域使用者帳戶,則在設定委派之前要完成第一個步驟,就是新增服務主體名稱 (SPN) 到帳戶物件。
設定委派 |
(僅網域使用者帳戶) 若要新增網域使用者帳戶的 SPN,請在命令提示字元輸入 setspn –s http/Host Domain\Account,其中 Host 是裝載憑證註冊 Web 服務的網頁伺服器電腦名稱,且 Domain\Account 是 Web 服務應用程式集區使用的網域帳戶。
開啟 [Active Directory 使用者和電腦]。
在主控台樹狀目錄中,展開包含應用程式集區使用帳戶的網域。
如果應用程式集區身分識別是 Network Service,請按一下 [電腦]。否則,請按一下 [使用者]。
在詳細資料窗格中,按兩下帳戶,然後按一下 [委派] 索引標籤。
按一下 [信任這個使用者,但只委派指定的服務]。
如果 Web 服務驗證類型是 Windows 整合式驗證,請選取 [只使用 Kerberos] 核取方塊。如果 Web 服務驗證類型是用戶端憑證驗證,請選取 [使用任何驗證通訊協定] 核取方塊。
按一下 [新增],然後按一下 [使用者或電腦]。
輸入裝載 CA 的電腦名稱,然後按一下 [確定]。
在 [可用的服務] 清單中,按一下 [HOST] 及 [rpcss],然後按一下 [確定]。按住 CTRL 鍵以選取多個項目。
按一下 [確定] 儲存變更。
其他參考資料