Windows Server 2008 R2之三十三：证书注册WEB服务（二）

在Windows Server 2008 R2之三十二：证书注册WEB服务（一）中，主要讲述的是CA和证书注册WEB服务安装在一台计算机上的部署过程。

在本讲，主要当CA和证书注册WEB服务安装在不同计算机上的过程。由于它们安装在不同的计算机，可能会需要进行相应的委委托设置。

本实验的环境和证书注册WEB服务（一）相同。

打开活动目录用户和计算机，添加用户CAservice.

以下是在计算机Client01上操作完成。

打开本地用户和组，将域用户CAservice添加到Client01的本地组IIS_users.

运行MMC，添加证书管理单元，选择本地计算机。为计算机Client01申请一张计算机证书，供SSL加密使用。

 

安装证书注册WEB服务。

安装过程同（一）。以下是相应的设置。修改FriendlyName的值。

复制URL 的值。

安装证书注册WEB服务。

以下是几个重要的截图。

选择CA。

安装完成后，打开组策略编辑器，修改默认域策略中的相应设置。

设置委派。

如果满足所有以下条件，则必须为 Web 服务帐户配置委派：

证书颁发机构 (CA) 和证书注册 Web 服务安装在不同的计算机上。
Web 服务身份验证类型为 Windows 集成身份验证或客户端证书身份验证。
没有为仅续订模式配置 Web 服务。

以下是设置委派的过程即说明：

如果证书注册 Web 服务应用程序池配置为使用域用户帐户，则在配置委派之前完成第一步，以向帐户对象中添加服务主体名称 (SPN)。

配置委派的步骤

（仅限域用户帐户）若要为域用户帐户添加 SPN，请在命令提示符下，键入 setspn –s http/Host Domain\Account，其中 Host 是承载证书注册 Web 服务的 Web 服务器的计算机名，Domain\Account 是 Web 服务应用程序池使用的域帐户。

打开“Active Directory 用户和计算机”。

在控制台树中，展开包含应用程序池使用的帐户的域。

如果应用程序池标识是“网络服务”，则单击“计算机”。否则，单击“用户”。

在细节窗格中，双击帐户，然后单击“委派”选项卡。

单击“仅信任此用户作为指定服务的委派”。

如果 Web 服务身份验证类型为 Windows 集成身份验证，则选中“仅使用 Kerberos”复选框。如果 Web 服务身份验证类型为客户端证书身份验证，则选中“使用任何身份验证协议”复选框。

单击“添加”，然后单击“用户或计算机”。

输入承载 CA 的计算机的名称，然后单击“确定”。

在“可用服务”列表中，单击 HOST 和 rpcss，然后单击“确定”。按下 Ctrl 键可选择多个项目。

 

右击CAservice，选择委派，进行如下设置。

选择“添加”

选择“用户和计算机“，选择CA的计算机名，在本实验中CA的计算机名DCsrv01,用CTRL键，选择HOST和Rpcss服务。

结果如下图

用GPupdate/Force或者重启计算机，使组策略生效。

运行MMC，添加证书管理单元。

完成申请证书

其它过程略。