Веб-служба регистрации сертификатов может обрабатывать запросы регистрации для новых сертификатов и для обновления сертификатов. В обоих случаях клиентский компьютер передает запрос в веб-службу, а веб-служба передает запрос в центр сертификации (ЦС) от имени клиентского компьютера. Поэтому учетная запись веб-службы должна быть доверенной для делегирования, чтобы представлять идентификатор клиента в центре сертификации.
Веб-служба регистрации сертификатов, принимающая запросы из Интернета, представляет определенную угрозу для безопасности, и некоторые организации могут отказать учетной записи веб-службы в доверии для делегирования. Веб-службу регистрации сертификатов можно настроить на режим «только обновление», чтобы уменьшить риск, связанный с приемом запросов из Интернета.
В режиме «только обновление» веб-служба принимает только запросы обновления сертификатов, а запросы новых сертификатов отклоняются. Для поддержки режима «только обновление» в центре сертификации необходимо настроить проверку подлинности клиентского компьютера с использованием подписи в запросе обновления и существующего сертификата клиентского компьютера. При такой настройке не требуется доверять учетной записи веб-службы для делегирования.
К режиму «только обновление» предъявляется три требования.
- Центр сертификации предприятия под
управлением Windows Server 2008 R2.
- Клиентские компьютеры с операционной системой
Windows 7 или Windows Server 2008 R2.
- На клиентских компьютерах, запрашивающих
обновление сертификата, должен быть сертификат, который еще не
устарел и который может быть проверен центром сертификации.
Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы предприятия.
Настройка веб-службы регистрации сертификатов на режим «только обновление» |
-
Откройте диспетчер сервера.
-
В дереве консоли щелкните Роли.
-
Если на странице Сводка по ролям появляется компонент Службы сертификации Active Directory, щелкните Добавить службы ролей и перейдите к следующему действию. Если этот компонент не появляется, перед продолжением выполните следующие действия.
- На странице Сводка по ролям щелкните Добавить
роли.
- На странице Прежде чем приступить к работе нажмите
кнопку Далее.
- На странице Выбор ролей сервера щелкните Службы
сертификации Active Directory и нажмите кнопку
Далее.
- Просмотрите сведения на странице Знакомство со службами
сертификации Active Directory, затем нажмите кнопку
Далее.
- На странице Сводка по ролям щелкните Добавить
роли.
-
На странице Выбор служб ролей установите флажок Веб-служба регистрации сертификатов.
Примечание При добавлении роли службы сертификации Active Directory автоматически выбирается служба роли центра сертификации, но ее нельзя установить одновременно с веб-службой регистрации сертификатов. Если предполагается использовать и центр сертификации, и веб-службу регистрации сертификатов, выполните сначала установку центра сертификации. См. раздел Настройка служб сертификации Active Directory.
-
Когда предлагается установить требуемые службы ролей и компоненты, щелкните Добавить требуемые службы роли, а затем нажмите кнопку Далее.
-
Чтобы указать центр сертификации, выберите Имя ЦС или Имя компьютера, затем нажмите кнопку Обзор. Выберите центр сертификации или введите имя компьютера и нажмите кнопку ОК.
-
Установите флажок Настроить веб-службу регистрации сертификатов на режим «только обновление».
-
На странице Выберите тип проверки подлинности выберите Имя пользователя и пароль или Проверка подлинности сертификата клиента.
-
На странице Укажите данные учетной записи выберите Указать учетную запись службы или Использовать встроенный идентификатор пула приложений. Чтобы указать учетную запись службы, щелкните Выбрать, введите имя пользователя и пароль учетной записи домена и нажмите кнопку ОК. Нажмите кнопку Далее.
-
Выберите существующий сертификат сервера, щелкните Импорт, чтобы импортировать файл сертификата, или щелкните Выбрать и назначить сертификат сервера позже, затем нажмите кнопку Далее. Дополнительные сведения см. в разделе Настройка сертификатов сервера для веб-служб регистрации сертификатов.
-
На странице Введение в веб-сервер (IIS) нажмите кнопку Далее.
-
На странице Выбор служб ролей просмотрите выбранные службы ролей, затем нажмите кнопку Далее.
-
Просмотрите информацию на странице Подтвердите выбранные элементы, затем нажмите кнопку Установить.
-
Посмотрите сообщения на странице Результаты установки. Прежде чем пользователь сможет передавать запросы, возможно, потребуется выполнить дополнительные задачи по настройке веб-службы регистрации сертификатов.
Описанные далее команды используются для настройки и перезапуска служб сертификации Active Directory. При такой настройке центр сертификации может также обрабатывать запросы новых сертификатов.
Настройка центра сертификации для поддержки режима «только обновление» |
-
В командной строке центра сертификации введите certutil -setreg policy\editflags +enablerenewonbehalfof и нажмите клавишу ВВОД.
-
Откройте оснастку «Центр сертификации».
-
В дереве консоли щелкните правой кнопкой мыши центр сертификации и выберите пункт Свойства.
-
Перейдите на вкладку Безопасность.
-
Если учетная запись веб-службы отображается в области Группы или пользователи, проверьте, выбрано ли разрешение Чтение. Если учетная запись веб-службы не отображается, выполните следующие действия:
- Нажмите кнопку Добавить.
- Введите имя учетной записи и нажмите кнопку Проверить
имена. Если имя не найдено, щелкните Типы объектов и
убедитесь, что выбран правильный тип учетной записи. Исправьте имя
учетной записи и нажмите кнопку ОК.
- Установите флажок Чтение и нажмите кнопку ОК.
- Нажмите кнопку Добавить.
-
Введите sc stop certsvc и нажмите клавишу ВВОД.
-
Введите sc start certsvc и нажмите клавишу ВВОД.
Дополнительные источники информации