在Windows Server 2008 R2之三十二:证书注册WEB服务(一)中,主要讲述的是CA和证书注册WEB服务安装在一台计算机上的部署过程。
在本讲,主要当CA和证书注册WEB服务安装在不同计算机上的过程。由于它们安装在不同的计算机,可能会需要进行相应的委委托设置。
本实验的环境和证书注册WEB服务(一)相同。
打开活动目录用户和计算机,添加用户CAservice.
以下是在计算机Client01上操作完成。
打开本地用户和组,将域用户CAservice添加到Client01的本地组IIS_users.
运行MMC,添加证书管理单元,选择本地计算机。为计算机Client01申请一张计算机证书,供SSL加密使用。
安装证书注册WEB服务。
安装过程同(一)。以下是相应的设置。修改FriendlyName的值。
复制URL 的值。
安装证书注册WEB服务。
以下是几个重要的截图。
选择CA。
安装完成后,打开组策略编辑器,修改默认域策略中的相应设置。
设置委派。
如果满足所有以下条件,则必须为 Web 服务帐户配置委派:
证书颁发机构 (CA) 和证书注册 Web 服务安装在不同的计算机上。
Web 服务身份验证类型为 Windows 集成身份验证或客户端证书身份验证。
没有为仅续订模式配置 Web 服务。
以下是设置委派的过程即说明:
如果证书注册 Web 服务应用程序池配置为使用域用户帐户,则在配置委派之前完成第一步,以向帐户对象中添加服务主体名称 (SPN)。
配置委派的步骤
(仅限域用户帐户)若要为域用户帐户添加 SPN,请在命令提示符下,键入 setspn –s http/Host Domain\Account,其中 Host 是承载证书注册 Web 服务的 Web 服务器的计算机名,Domain\Account 是 Web 服务应用程序池使用的域帐户。
打开“Active Directory 用户和计算机”。
在控制台树中,展开包含应用程序池使用的帐户的域。
如果应用程序池标识是“网络服务”,则单击“计算机”。否则,单击“用户”。
在细节窗格中,双击帐户,然后单击“委派”选项卡。
单击“仅信任此用户作为指定服务的委派”。
如果 Web 服务身份验证类型为 Windows 集成身份验证,则选中“仅使用 Kerberos”复选框。如果 Web 服务身份验证类型为客户端证书身份验证,则选中“使用任何身份验证协议”复选框。
单击“添加”,然后单击“用户或计算机”。
输入承载 CA 的计算机的名称,然后单击“确定”。
在“可用服务”列表中,单击 HOST 和 rpcss,然后单击“确定”。按下 Ctrl 键可选择多个项目。
右击CAservice,选择委派,进行如下设置。
选择“添加”
选择“用户和计算机“,选择CA的计算机名,在本实验中CA的计算机名DCsrv01,用CTRL键,选择HOST和Rpcss服务。
结果如下图
用GPupdate/Force或者重启计算机,使组策略生效。
运行MMC,添加证书管理单元。
完成申请证书
其它过程略。
本文转自ycrsjxy51CTO博客,原文链接:http://blog.51cto.com/ycrsjxy/1010814,如需转载请自行联系原作者
