Nous décrivons ci-dessous comment configurer un Certificate Enrollment Policy Web Service (CEP) pour que le service fonctionne sous un compte de domaine.
Les services web d'enregistrement des certificats (Certificate Enrollment Policy Web Service, CEP et Certificate Enrollment Web Service, CES) permettent de demander et de renouveler automatiquement les certificats d'une autorité de certification via une interface web. Il n'est donc pas nécessaire de contacter directement l'autorité de certification par Remote Procedure Call (RPC). Pour une description plus détaillée, voir l'article "Bases de la demande de certificat via Certificate Enrollment Web Services (CEP, CES)„ .
Le fonctionnement avec un compte de domaine ne peut être garanti de manière sûre que si le compte dispose d'un mot de passe complexe et que celui-ci est modifié à intervalles réguliers. Si cela est possible dans son propre environnement, il faut toujours privilégier l'utilisation d'un Group Managed Service Account (gMSA) ou (s'il s'agit d'un serveur dédié, également l'identité intégrée du pool d'applications).
La SCEP a-t-elle été installé selon les instructions suivantesAprès l'installation, le service fonctionne sous l'identité du pool d'applications.
Wenn CEP und CES auf dem gleichen Server installiert sind und ein Service Account mit Delegation verwendet wird, müssen die CEP und CES Application Pools in den meisten Fällen unter dem gleichen Konto betrieben werden, um SPN-Kollisionen bei der Kerberos-Authentisierung zu vermeiden.
Conditions pour le compte de service CEP
Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.
Le compte de service CEP...
- doit être membre du groupe local de IIS_IUSRS.
- nécessite un nom principal de service (Service Principal Name, SPN) qui, selon la configuration, doit correspondre à em nom de serveur pleinement qualifié ou à l'alias à utiliser.
Configurer le nom principal du service (SPN) pour le compte de service
setspn -S HTTP/cep01.intra.adcslabor.de INTRA\Service_CEP
Ajouter le compte de service au groupe IIS_IUSRS sur le serveur CEP
Le compte de service doit être inclus dans le groupe de sécurité local IIS_IUSRS pour qu'il puisse être utilisé par le CEP. Cela peut se faire via la console de gestion des utilisateurs locaux (lusrmgr.msc).
Configuration du compte de service dans le pool d'applications CEP
Pour que le service CEP fonctionne avec le compte de domaine, ce dernier doit être défini dans le WSEnrollmentPolicyServer-Il est possible de configurer le pool d'applications dans la console de gestion Internet Information Server (IIS). Pour ce faire, il suffit de cliquer avec le bouton droit sur le pool d'applications WSEnrollmentPolicyServer et de sélectionner l'option "Advanced Settings...".
Dans l'option "Identity", on clique sur le côté droit sur le bouton "...". bouton.
Dans la boîte de dialogue qui suit, on choisit "Custom account" et on clique sur "Set...".
Le compte de domaine peut maintenant être indiqué. Le nom de domaine doit impérativement être indiqué. Si le mot de passe est erroné, un message d'erreur s'affiche lorsque l'on clique sur "OK".
Redémarrer le service du serveur web
Le service du serveur web est ensuite redémarré avec la commande iisreset.
Liens complémentaires :
- Installation d'un service web Certificate Enrollment Policy (CEP)
- La demande d'un certificat via le Certificate Enrollment Web Policy Service (CEP) échoue avec le message d'erreur "Error : Access was denied by the remote endpoint. 0x803d0005 -2143485947 WS_E_ENDPOINT_ACCESS_DENIED".
Français 
Deutsch 
English
Les commentaires sont fermés.