憑證註冊 Web 服務可以處理新憑證及憑證更新的註冊要求。在這兩種情況下,用戶端電腦會提交要求到 Web 服務,而 Web 服務會代表用戶端電腦提交要求到憑證授權單位 (CA) 。基於這個原因,為提交用戶端身分識別給 CA,Web 服務帳戶必須受信任可以委派。
憑證註冊 Web 服務接收來自高安全性風險之網際網路的要求,因此某些組織可能選擇不信任 Web 服務帳戶進行委派。憑證註冊 Web 服務可設定為僅更新模式,以減輕接收網際網路要求的風險。
在僅更新模式中,Web 服務只接收憑證更新要求,將拒絕新的憑證要求。若要支援僅更新模式,必須使用更新要求中及用戶端電腦之現有憑證中的簽章來設定 CA 驗證用戶端電腦。在這個設定中,沒有必要信任 Web 服務帳戶以進行委派。
僅更新模式有以下需求:
- 執行 Windows Server 2008 R2 的 Enterprise CA。
- 用戶端電腦執行 Windows 7 或 Windows Server 2008 R2。
- 求憑證更新的用戶端電腦要必須具有尚未到期的憑證,且可以由簽發的 CA 驗證。
若要完成此程序,至少需要 Enterprise Admins 群組成員資格。
 | 設定憑證註冊 Web 服務為僅更新模式 |
開啟 [伺服器管理員]。
在主控台樹狀目錄中,按一下 [角色]。
如果 [Active Directory 憑證服務] 顯示在 [角色摘要] 頁面上,請按一下 [新增角色服務],然後繼續下一個步驟。如果無法顯示,請先完成以下步驟再繼續:
- 在 [角色摘要] 頁面上,按一下 [新增角色]。
- 在 [在您開始前] 頁面上,按 [下一步]。
- 在 [選取伺服器角色] 頁面上,按一下 [Active Directory 憑證服務],然後按一下 [下一步]。
- 檢閱 [Active Directory 憑證服務簡介] 頁面上的資訊,然後按 [下一步]。
- 在 [角色摘要] 頁面上,按一下 [新增角色]。
在 [選取角色服務] 頁面上,選取 [憑證註冊 Web 服務] 核取方塊。
附註 當新增 AD CS 角色時,會自動選取憑證授權單位角色服務,但不能與憑證註冊 Web 服務同時安裝。如果您要安裝 CA 及憑證註冊 Web 服務,請先完成 CA 安裝。請參閱設定 Active Directory 憑證服務。
當提示您安裝需要的角色服務及功能時,按一下 [新增所需的角色服務],然後按 [下一步]。
若要指定 CA,請按一下 [CA 名稱] 或 [電腦名稱],然後按一下 [瀏覽]。選取 CA 或輸入電腦名稱,然後按一下 [確定]。
選取 [為僅更新模式設定憑證註冊 Web 服務] 核取方塊。
在 [選取驗證類型] 頁面上,按一下 [使用者名稱及密碼] 或 [用戶端憑證驗證]。
在 [指定帳戶認證] 頁面上,按一下 [指定服務帳戶] 或 [使用內建的應用程式集區身分識別]。若要指定服務帳戶,請按一下 [選取],輸入網域帳戶名稱及密碼,然後按一下 [確定]。按 [下一步]。
選取現有的伺服器憑證,按一下 [匯入] 匯入憑證檔案或按一下 [稍後選擇並指派伺服器憑證],然後按 [下一步]。請參閱設定憑證註冊 Web 服務的伺服器憑證以取得詳細資料。
在 [網頁伺服器 (IIS) 簡介] 頁面上,按 [下一步]。
在 [選取角色服務] 頁面上,檢視選取的角色服務,然後按 [下一步]。
檢視 [確認安裝選項] 頁面上的資訊之後,按一下 [安裝]。
檢視 [安裝結果] 頁面上的訊息。使用者必須先執行其他工作來設定憑證註冊 Web 服務,才能提交要求。
使用這些命令設定及重新啟動 Active Directory 憑證服務。在這個設定中,CA 也可以處理新憑證要求。
| 設定 CA 支援僅更新模式 |
在 CA 的命令提示字元上,輸入 certutil –setreg policy\editflags +enablerenewonbehalfof,然後按 ENTER 鍵。
開啟 [憑證授權單位] 嵌入式管理單元。
在主控台樹狀目錄中,在 CA 上按一下滑鼠右鍵,然後按一下 [內容]。
按一下 [安全性] 索引標籤。
如果 Web 服務帳戶顯示在 [群組或使用者名稱] 中,請確認已選取 [讀取] 權限。如果沒有顯示 Web 服務帳戶,請完成下列步驟:
- 按一下 [新增]。
- 輸入帳戶名稱,然後按一下 [檢查名稱]。如果沒有找到名稱,按一下 [物件類型],並確認已選取正確的帳戶類型。在找到正確的帳戶名稱後,按一下 [確定]。
- 選取 [讀取] 核取方塊,然後按一下 [確定]。
- 按一下 [新增]。
輸入 sc stop certsvc,然後按 ENTER。
輸入 sc start certsvc,然後按 ENTER。
其他參考資料