設定和疑難排解 Windows 2000 與 Windows Server 2003 憑證服務網頁註冊

  • 發行項

發佈日期: 2004 年 6 月 15 日

作者: Carsten B. Kinder, David B. Cross

Microsoft 憑證授權 (CA) 提供的唯一授權註冊功能,使用具備 Internet Information Services (IIS) Web 伺服器和瀏覽器用戶端的 HTTP 通訊協定。Windows Server 2003 網頁註冊在用戶端不能直接存取憑證授權的環境中,啟動憑證註冊的功能。本白皮書詳述在分散式網路環境中,網頁註冊元件的安裝、安全性設定及疑難排解。

本頁內容

簡介
安裝伺服器環境
設定網頁註冊 Proxy 以進行委派
更改 Proxy 設定
網頁註冊用戶端先決條件
憑證註冊案例
疑難排解
常見問題集
附錄
摘要
相關連結

簡介

在 Active Directory® 環境中,可以從 Windows® 2000 或 Windows Server 2003 CA,運用 MMC 嵌入式管理單元或自動註冊進行憑證的註冊。第三種憑證散發方法則是網頁註冊,這種方法在無法廣泛使用或存取 Active Directory 的環境中尤其便利。

如需有關 Microsoft 公開金鑰基層結構 (PKI) 與憑證服務的介紹,請參閱
https://www.microsoft.com/pki (英文)

使用網頁註冊的註冊憑證始終會是手動程序,如此才能讓憑證註冊規劃者彈性處理註冊的工作流程。

如果 PKI 架構設計者或規劃者決定要實作網頁註冊支援,主要便會滿足下列的一或多項需求。

  • 提供憑證給用戶端,其中用戶端與 CA 之間存在著限制的網路連線能力。

  • 提供憑證給作為網域或工作群組成員的用戶端電腦。

  • 實作簡單或自訂的註冊授權元件。

  • 整合網頁註冊與現有的工作流程機制。

  • 運用自己開發的元件,延伸現有的註冊授權功能。

如需有關如何在 Windows Server 2003 延伸網頁註冊支援的資訊,請參閱
https://msdn.microsoft.com/library/default.asp?url=/library/en-us/security/security/
customizing_the_certificate_services_web_enrollment_pages.asp (英文)

範圍

本白皮書涵蓋網頁註冊支援在 Windows Server 環境的實作,並包括具有 Windows 2000 Server 和 Windows Server 2003 的異質性部署環境。

注意: 不論「憑證服務」或網頁註冊支援都沒有在 Windows Server 2003 Web Edition 中啟用。

本白皮書協助系統結構設計者與管理員,使他們瞭解如何在複雜案例中實作網頁註冊支援。其中包括在憑證要求者、網頁註冊電腦及可使用的 CA 之間,必要網路通訊協定的相關詳細資訊。並且也對如何在網頁註冊伺服器限制委派,提供逐步的指導。疑難排解的一節,則是說明如何解譯錯誤訊息,以及如何解決設定錯誤。

詞彙

在此白皮書中,對於作為 PKI 與「憑證服務」基礎結構部分的元件,使用到一些技術詞彙。為了澄清這些,請瞭解下列適用規則。

  • 網頁註冊頁是呈現給使用者的 Web 應用程式。

  • 網頁註冊支援說明透過網頁註冊頁註冊憑證所需要的元件。在許多情況下,網頁註冊支援與網頁註冊頁都具有相同的意義。

  • 網頁註冊 Proxy也就是網頁註冊頁的主機電腦。這部電腦並沒有安裝 CA。而是作為從用戶端到執行憑證服務 CA 的憑證要求 Proxy。

安裝伺服器環境

本節的焦點在於憑證網頁註冊案例的安裝與設定。其中提供如何設定元件的逐步指導。您可以在同質的 Windows 2000 環境中設定網頁註冊支援,或是部署混合式的設定。不過,此處提供的指導也適用於同質的 Windows Server 2003 部署環境。

支援案例

憑證服務的主機電腦與網頁註冊支援的主機電腦,都必須是相同 Active Directory 樹系的成員,不過可以是不同網域的成員。

您可以透過 Windows Server 2003 或 Windows 2000 網頁註冊 Proxy,從 Windows Server 2003 CA 註冊憑證。或者,您也可以透過 Windows 2000 網頁註冊 Proxy,從 Windows 2000 CA 註冊憑證。然而,對於透過 Windows Server 2003 網頁註冊 Proxy,從 Windows 2000 CA 註冊憑證,卻沒有提供支援。如果需要多重網頁註冊 Proxy,可以實作多重的組合。

網頁註冊 Proxy

 

憑證授權

Windows 2000

  

Dd164315.Arrow(zh-tw,TechNet.10).gif

Windows 2000

Windows 2000

  

Dd164315.Arrow(zh-tw,TechNet.10).gif

Windows Server 2003

Windows Server 2003

  

Dd164315.Arrow(zh-tw,TechNet.10).gif

Windows Server 2003

表 1:網頁註冊支援的支援作業系統 (OS) 組合

執行「憑證服務」的 CA 可以設定為企業或獨立 CA。不過,您無法在已安裝 Windows SharePoint Services 的電腦上安裝憑證網頁註冊支援。這項限制是基於網頁註冊支援使用「預設網站」作為 Web 環境的事實。由於使用的網站是硬式編碼的,您將無法變更網站。

如果您使用 Windows 2000 網頁註冊 Proxy,即使在 Windows Server 2003 企業 CA 擁有 V2 範本,網頁註冊功能也會始終限制在 V1 範本。V2 範本會遭到忽略,並且不會顯示在 Windows 2000 進階網頁註冊頁中。

由於網頁註冊 Proxy 連線到 CA 的動作與一般「分散式元件物件模型」(DCOM) 用戶端相同,您可以盡量設定多重的網頁註冊 Proxy。依預設值,網頁註冊頁的目前實作支援網頁註冊 Proxy 與 CA 之間的 n 對 1 關係。然而,您無法以能在同時存取多重 CA 的方式,來設定網頁註冊頁。不過,網頁註冊頁的自訂化可以滿足這種特定的需求。在一部電腦上只能安裝一個網頁註冊頁的執行個體。您無法在此種設定下,在 IIS 安裝多重網站並執行多重網頁註冊頁。

如果擁有高可用度需求,您可以在執行 IIS 的網路負載平衡 Web 叢集上,安裝網頁註冊頁。由於此種設定比較特定於 IIS,本白皮書沒有提供有關此主題的特定資訊。

圖 1 說明支援的樣本案例,其中在 Active Directory 樹系中有 2 個 CA 可供使用。每個 CA 都有連結多重的網頁註冊 Proxy。此案例假定所有電腦都屬於相同的 Active Directory 樹系。

Dd164315.webenr01(zh-tw,TechNet.10).gif

圖 1:運用網頁註冊支援的複雜網路中的範本設定

在 Windows 2000 或 Windows Server 2003 Active Directory 環境,都能安裝網頁註冊 Proxy 設定。此外,如同之前所說明的,也能支援混合模式的設定。

先決條件

在預設設定中,Windows Server 2003 網頁註冊 Proxy 會透過 DCOM 與 CA 通訊,並透過輕量型目錄存取通訊協定 (LDAP) 及 Kerberos 與網域控制站建立通訊。不過,運用額外設定步驟,即可限制傳輸控制通訊協定 (TCP) 通訊,而讓網頁註冊 Proxy 與 CA 之間的所有傳輸都能通過防火牆。在用戶端與網頁註冊 Proxy 之間的通訊是純粹的 HTTP,因此您可以將網路傳輸限制在執行網頁註冊頁的網站所使用的通訊埠。然而,如果網頁註冊頁有使用智慧卡註冊站,用戶端就不需要通往 CA 的直接 DCOM 連線。

安裝 CA

若要安裝 CA 設定,您應該遵循由 Microsoft 提供的下列最佳做法建議。如需有關資訊與建議設定,請參閱<相關連結>。

若要透過網頁註冊頁實作憑證註冊,您不需要也不應該在已安裝 CA 的電腦上安裝 IIS,或是使之成為 IIS 主機。由於「憑證服務」依靠網頁註冊支援的一些元件,在任何情況下,CA 設定都會在 CA 安裝網頁註冊支援。不過如果沒有安裝 IIS,透過網站註冊憑證的功能便會停用。

防火牆環境的額外 CA 設定

在防火牆放置在網頁註冊 Proxy 與發行 CA 的案例中,您必須變更 CA 與作業系統設定,才能減少在兩個系統之間用來通訊的通訊埠數目。網頁註冊 Proxy 的設定可以維持不變。

圖 2 說明本白皮書中使用的防火牆環境的網頁註冊設定。實線顯示在執行網頁註冊時網路傳輸的流動。虛線則顯示如果註冊代理程式部署智慧卡憑證,便會發生的額外網路傳輸。

圖 2:具有防火牆環境的範例網頁註冊案例

圖 2:具有防火牆環境的範例網頁註冊案例

圖 3 說明在本白皮書中使用的防火牆環境的憑證自動註冊設定。

圖 3:具有防火牆環境的範例憑證自動註冊案例

圖 3:具有防火牆環境的範例憑證自動註冊案例

所有電腦都加入到相同的 Active Directory 樹系。此樹系具有 2 個網域,稱作 child.contoso.comcontoso.com。CA 電腦是 contoso.com 網域的成員,並能與稱作 dc.contoso.com 的網域控制站適當通訊。用戶端 (client.child.contoso.com) 與網頁註冊 Proxy 電腦 (caproxy.child.contoso.com),都是子網域的成員,並能與維護網域的網域控制站 (dc.child.contoso.com) 進行適當通訊。在此假設網域控制站對網域控制站的通訊是可靠與正常作用的。如需有關在防火牆之上進行 Active Directory 複寫的詳細資訊,請參閱
https://www.microsoft.com/technet/prodtechnol/windows2000serv/technologies/
activedirectory/deploy/confeat/adrepfir.mspx (英文)

注意: ISA Server 2004 會一直篩選遠端程序呼叫 (RPC) 的傳輸。您應該在網域控制站之間,強制執行嚴格防火牆規則的 RPC 規範。

運用這些設定步驟,子網域中的用戶端將能透過 MMC 嵌入式管理單元或網頁註冊介面,以手動要求憑證;或是自動地註冊憑證。

此設定也適用於 CA 電腦、網頁註冊 Proxy 及用戶端都加入相同網域的環境。在使用單一網域時 ,所有設定步驟依然相同,不過防火牆設定卻會更為容易。如需網頁註冊案例資訊,請參閱<設定防火牆>。

注意: 如果防火牆在您安裝及設定網頁註冊元件之前已經就位,您就必須在安裝網頁註冊支援元件以前,先在 CA 執行下列設定步驟。由於在進行安裝時,網頁註冊元件已經與發行 CA 進行通訊,因此您必須在安裝時執行這項作業。

在發行 CA 時停用 RPC 介面

在預設設定中,Windows Server 2003 CA 會透過 RPC 和 DCOM 與其用戶端通訊。RPC 是用來支援 Windows 2000 用戶端和伺服器的,DCOM 則是用來支援 Windows XP 和 Windows Server 2003 用戶端的。既然防火牆通常對 RPC 傳輸具有不良效果,CA RPC 介面就必須停用。請注意,這項設定步驟不會在 CA 的主機電腦停用所有 RPC 功能。在 CA 停用 RPC,不會在所有電腦都執行 Windows XP 或更新版本 Windows 作業系統的環境中,對「憑證 MMC 嵌入式管理單元」或自動註冊的憑證註冊功能,形成任何影響。如果在 CA 停用 RPC 介面,Windows 2000 電腦就無法運用「憑證 MMC 嵌入式管理單元」來註冊憑證;不過,電腦依然可以透過網頁註冊支援來註冊憑證。

若要停用 RPC 介面,請執行下列步驟。

  1. 在安裝 CA 的電腦,以具有本機系統管理員權限的帳戶登入。在此案例中,請登入 ca.contoso.com

  2. 在命令提示字元,執行下令命令。

    certutil -setreg ca\interfaceflags +0x8

  3. 命令輸出便會顯示已啟用的旗標。在命令輸出清單中,確認 IF_NORPCICERTREQUEST 是 InterfaceFlags 的一部分。

  4. 透過「憑證 MMC 嵌入式管理單元」,或是藉由下列命令列步驟,重新啟動憑證授權服務。

    net stop certsvc & net start certsvc

若要將 RPC 介面重新設定為預設設定值,請以減號取代先前命令中的加號。

certutil -setreg ca\interfaceflags -0x8
設定 DCOM 設定值

CA 主要是實作為 DCOM 應用程式。依預設值,DCOM 使用高數目的 TCP 通訊埠來回應用戶端要求。運用 [DCOM 設定] MMC 嵌入式管理單元,即可強制執行「憑證服務」以使用自訂 TCP 通訊埠。

  1. 在登入發行 CA 時,請從命令提示字元執行下列命令。

    dcomcnfg.exe

  2. 在 [元件服務] MMC 嵌入式管理單元的左窗格中,展開 [元件服務]、[電腦]、[我的電腦],然後 [DCOM 設定]。

  3. 在右窗格中,選擇 [CertSrv Request]。

  4. 在 [執行] 功能表中,按一下 [內容]。

  5. 在 [結束點] 索引標籤上,按一下 [新增]。

  6. 選取 [使用靜態結束點],輸入一個未使用的 TCP 通訊埠數目,例如,7680,然後按 [確定] 兩次。

  7. 關閉 [MMC 嵌入式管理單元]。

  8. 透過 [MMC 嵌入式管理單元],或是藉由下列命令,重新啟動憑證授權服務。

    net stop certsvc 與 net start certsvc

若要在稍後復原這項變更,請從結束點清單中移除新增的項目。

為網頁註冊案例設定防火牆

透過網頁註冊支援所作的憑證註冊防火牆設定,都對應於先前的範例案例。若要允許進行憑證註冊時所牽涉的電腦間通訊,防火牆必須經過設定以允許如表 3 所載的網路通訊協定。

表 2 顯示進行憑證註冊時,在用戶端、網頁註冊 Proxy 及「憑證服務」之間通常需要的網路通訊協定。取決於是否只能透過防火牆存取,或是能夠直接到達這些資源,也可能需要如「網域名稱系統」(DNS) 的其他通訊協定。通訊協定標籤都取自於 ISA 2004 設定,因此可能與不同防火牆產品使用的通訊協定描述不盡相同。

通訊協定

通訊埠範圍

通訊協定類型

方向

HTTP

80

TCP

傳出

自訂

7680

TCP

傳出

Kerberos-Sec (UDP)

88

UDP

傳送 接收

LDAP

389

TCP

傳出

LDAP (UDP)

389

UDP

傳送 接收

RPC (所有介面)

135

TCP

傳出

表 2:用於憑證註冊的網路通訊協定

若要設定防火牆,請定義規則以對映下列規則。套用如表 2 所描述的通訊協定定義,並對 RPC 篩選器給予特別注意。您必須根據表 3 啟用或停用嚴格 RPC 篩選。

規則

通訊協定

嚴格 RPC

1

client.child.contoso.com

caproxy.child.contoso.com

HTTP

2

caproxy.child.contoso.com

CA.contoso.com

自訂

3

caproxy.child.contoso.com

CA.contoso.com

RPC (所有介面)

4

caproxy.child.contoso.com

DC.contoso.com

Kerberos-Sec (UDP)

5

caproxy.child.contoso.com

DC.contoso.com

LDAP (UDP)

6

CA.contoso.com

caproxy.child.contoso.com

RPC (所有介面)

7

CA.contoso.com

dc.child.contoso.com

Kerberos-Sec (UDP)

8

CA.contoso.com

dc.child.contoso.com

LDAP

9

CA.contoso.com

dc.child.contoso.com

LDAP (UDP)

10

CA.contoso.com

dc.child.contoso.com

RPC (所有介面)

表 3:使用網頁註冊的憑證註冊防火牆設定

如果在您的設定中,所有電腦都共用相同網域,您就只需要實作規則 1、2、3 及 6。

如果運用智慧卡註冊站來註冊憑證,除了表 4 中的規則以外,您還必須設定表 3 中的防火牆規則。

規則

通訊協定

嚴格 RPC

1

client.child.contoso.com

CA.contoso.com

自訂

2

client.child.contoso.com

CA.contoso.com

RPC (所有介面)

3

client.child.contoso.com

DC.contoso.com

Kerberos-Sec (UDP)

4

client.child.contoso.com

DC.contoso.com

LDAP (UDP)

表 4:額外防火牆規則

注意: 取決於您的防火牆軟體,在您套用防火牆規則後,可能需要幾分鐘才能確實啟用防火牆規則。此外我們強烈建議您重新開機 CA 與網頁註冊 Proxy 電腦,以確定電腦能在初始狀況下透過防火牆進行適當通訊。在某些情況下,防火牆兩端的用戶端,會在防火牆已就位且允許規則卻尚未啟用時,無法建立安全的通道。若要強制執行網頁註冊 Proxy 與 CA 之間的適當信號交換,您就應該重新開機。

為憑證 (自動) 註冊案例設定防火牆

即使有防火牆位於要求的電腦與 CA 之間,使用者和電腦依然能夠註冊憑證。下列防火牆規則需要停用 CA 的 RPC 介面,而且對 CA 的 DCOM 介面已經設定了固定通訊埠。

如需有關通訊協定定義的詳細資訊,請參閱表 2。請確定為規則 2 停用嚴格 RPC 篩選。

規則

通訊協定

嚴格 RPC

1

client.child.contoso.com

CA.contoso.com

自訂

2

client.child.contoso.com

CA.contoso.com

RPC (所有介面)

3

client.child.contoso.com

dc.contoso.com

Kerberos-Sec (UDP)

4

client.child.contoso.com

dc.contoso.com

LDAP (UDP)

5

CA.contoso.com

dc.child.contoso.com

Kerberos-Sec (UDP)

6

CA.contoso.com

dc.child.contoso.com

LDAP (UDP)

7

CA.contoso.com

dc.child.contoso.com

RPC (所有介面)

表 5:手動憑證註冊與自動註冊的防火牆設定

在網頁註冊 Proxy 電腦安裝 IIS

建議您在安裝「憑證服務網頁註冊支援」之前,先獨立安裝 IIS 元件。這是為了確使兩個元件能以適當順序進行安裝與設定。如果已經事先安裝過 IIS,請繼續在網頁註冊 Proxy 電腦上安裝 IIS。

注意: 您可能需要 Windows Server 2003 安裝媒體才能完成這項工作。

  1. 在將要安裝網頁註冊頁的電腦,以具有本機系統管理員權限的帳戶登入。在此案例中,請登入 caproxy.child.contoso.com。

  2. 按一下 [開始] 按鈕,指向 [執行],輸入 sysocmgr /i:sysoc.inf,然後按一下 [確定]。

  3. [Windows 元件精靈] 便會出現。選取下列元件:

    • 應用程式伺服器

      • 啟動網路 COM+ 存取

      • Internet Information Services (IIS)

        • 共用檔案

        • 網際網路資訊服務 (IIS) 管理員 (此元件為選用項目)。

        • World Wide Web Services

          • Active Server Pages

          • World Wide Web Service

  4. 按一下 [下一步] 以繼續進行。

  5. 精靈將會安裝選取的元件。若要關閉精靈,請按一下 [完成]。

在電腦安裝網頁註冊

「憑證服務網頁註冊頁」可以獨立安裝於 CA 之外。您只能在執行 IIS 5.0 的 Windows 2000 電腦上,安裝 Windows 2000 的網頁註冊支援。若要安裝 Windows Server 2003 的網頁註冊支援,您必須擁有一部執行 Windows Server 2003 Standard 或 Enterprise Edition 的電腦,並安裝 IIS 6.0。如以下文件所述的,Microsoft 不支援 Windows Server 2003 Web Edition 的網頁註冊。 https://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/
proddocs/en-us/web_server_overview.asp (英文)

一般而言,網頁註冊頁的主機與 CA 必須共用相同的 Active Directory 領域。這是由於兩項需求。首先,CA 與網頁註冊 Proxy 依靠必須由此領域的金鑰發佈中心所發行的 Kerberos 票證。其次,CA 根據 CA 物件上的 Active Directory 帳戶來維護註冊權限。若要以合理方式設定 CA 的存取控制清單,您必須加入領域中的已知安全性認證。其他考量包括下列各項:

  • 不同於安裝 CA 時的電腦,您可以在安裝網頁註冊支援時,變更電腦的網域成員資格。

  • 取決於您的限制委派選擇,您可能需要將網頁註冊電腦安裝到執行 Windows Server 2003 網域模式的電腦中。

注意: 您可能需要 Windows Server 2003 安裝媒體才能完成這項工作。

  1. 在將要安裝網頁註冊頁的電腦,登入為網域系統管理員。

  2. 按一下 [開始] 按鈕,指向 [執行],輸入 sysocmgr /i:sysoc.inf,然後按一下 [確定]。

  3. [Windows 元件精靈] 便會出現。選擇 [憑證服務] 並按一下 [詳細資料]。

  4. 選取 [憑證服務網頁註冊支援] 核取方塊,並按一下 [確定]。不要選取 [憑證服務 CA] 核取方塊。

  5. 按一下 [下一步] 以繼續進行。

  6. 一個視窗便會出現,您必須在其中提供憑證伺服器的名稱,以及對應的 CA 名稱。以手動輸入執行「憑證服務」的主機名稱,或是按一下 [瀏覽] 以選擇一個 CA。一旦提供電腦名稱,CA 名稱便會出在現在具有 CA 標籤的清單方塊中。按一下 [下一步] 以繼續進行。

  7. 精靈會通知您 IIS 服務必須暫時停止。按一下 [是] 以繼續進行。

  8. 一個視窗便會出現以告知您必須啟用 Active Server Pages。按一下 [是] 以繼續進行。

  9. 精靈將會安裝選取的元件。若要關閉精靈,請按一下 [完成]。

即使對 CA 指定或輸入錯誤的電腦名稱,或是選擇了錯誤的憑證服務,您也不需要重新安裝「憑證服務網頁註冊頁」。請參閱<更改 Proxy 設定>。

如果在精靈詢問啟用 IIS 的 Active Server Pages (ASP) 支援時,因錯誤而按下 [否],您依然能以手動啟用 Active Server Pages。如果您在安裝網頁註冊頁之後再安裝 IIS,也會需要進行這項明確的啟動。在命令提示字元,輸入

certutil -vroot

按下 ENTER 或開啟 [網際網路資訊服務 (IIS) 管理員],並在「網頁服務延伸模組」容器中啟動 [ASP]。

網頁註冊權限

網頁註冊頁的存取權限是透過 IIS 中 Web 應用程式的目錄安全性設定值而控制的。

Windows 2000 和 IIS 5.0 的預設設定值設定為下列驗證方法。

  • 預設網站:「匿名存取」與「整合的 Windows 驗證」

  • CertSrv:「基本文字驗證」與「整合的 Windows 驗證」

Windows Server 2003 和 IIS 6.0 的預設設定值設定為下列驗證方法。

  • 預設網站:「匿名存取」與「整合的 Windows 驗證」

  • CertSrv:「整合的 Windows 驗證」

用戶端將會立即辨認這些設定值的任何變更。不論 IIS 或是網站都需要重新啟動才能將新的設定付諸行動。由於只有「整合的 Windows 驗證」允許從聯結網域和非聯結網域的電腦進行憑證註冊,我們強烈建議您對任何網頁註冊 Proxy 設定「整合的 Windows 驗證」。這種做法也適用於下列設定。

  • 搭配 Windows 2000 CA 的 Windows 2000 網頁註冊 Proxy

  • 搭配 Windows Server 2003 CA 的 Windows 2000 網頁註冊 Proxy

  • 搭配 Windows Server 2003 CA 的 Windows 2003 網頁註冊 Proxy

運用 SSL 設定網頁註冊頁安全性

在任何情況下,如果您將驗證方法變更為「基本文字驗證」,強烈建議您使用「安全通訊端層」(SSL) 來設定用戶端與網頁註冊 Proxy 之間 HTTP 通道的安全性。在不具 SSL 伺服器憑證時,用戶端與伺服器 (包括使用者認證) 之間的所有 HTTP 傳輸,都會經由網路以純文字傳送。一般而言,即使運用最高安全性與隱私權的「整合的 Windows 驗證」,都會強烈建議憑證伺服器網頁註冊頁使用 SSL。

設定網頁註冊 Proxy 以進行委派

在「憑證服務」與網頁註冊的功能在兩部實體電腦分離的設定中,您需要管理識別與模擬的問題。網頁註冊電腦是在後端的「憑證服務」,以及網頁註冊用戶端之間作用的 Proxy。若要啟用 Proxy 功能,網頁註冊電腦必須在 Active Directory 受到信任以進行委派;否則,電腦就會無法代表使用者模擬並要求憑證。

一般而言,您可以遵循兩種處理方法來設定委派。

  • 在電腦層級啟用委派信任。這表示在該電腦的任何應用程式及任何服務,都可以模擬 Active Directory 中的對象。此功能也可在 Windows 2000 混合模式或更高的網域模式中使用。

  • 在獨特服務啟動限制委派,其中只有一部電腦上的這項特別服務具有模擬對象的權限。這項功能需要至少相等於 Windows Server 2003 的網域功能層級。

依預設值,網域控制站始終受信任進行委派,因此,並不需要明確設定才能給予委派信任。如需有關委派驗證的一般資訊,請參閱
https://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/
proddocs/en-us/se_constrained_delegation.asp (英文)

Kerberos 票證

透過網頁註冊進行憑證註冊必須依靠 Kerberos 驗證與授權通訊協定。Kerberos 在 Windows 2000 及更新系統中已實作為一項核心技術。一般而言,Kerberos 票證的處理都會自動發生,所以您不需要明確設定其行為。下列文件說明 Kerberos 如何在如同憑證網頁註冊的分散式環境中作用。

一般而言,聯結網域用戶端會自動要求並使用其 Kerberos 票證,以便在網頁註冊 Proxy 進行驗證,並在 CA 註冊憑證。然而,非聯結網域用戶端完全無法接收 Kerberos 票證。因此,網頁註冊 Proxy 需要模擬使用者,並代表非聯結網域用戶端要求 Kerberos 票證。

在電腦層級啟用委派信任

下列步驟顯示如何在聯結網域電腦啟用委派信任,以便讓該電腦所主持的一切服務從電腦繼承信任。如需詳細資訊,請參閱以下的 Windows Server 2003 線上說明
https://www.microsoft.com/resources/documentation/WindowsServ/2003/enterprise/
proddocs/en-us/se_del_computer.asp (英文)

  1. 在已安裝 Active Directory 使用者和電腦 MMC 嵌入式管理單元的電腦中,登入為網域系統管理員。

  2. 若要啟動 [Active Directory 使用者和電腦] MMC 嵌入式管理單元,請按一下 [開始] 按鈕,指向 [執行],輸入 dsa.msc,再按一下 [確定]。

  3. [Active Directory 使用者和電腦] MMC 嵌入式管理單元便會出現。在左窗格中,展開已經在其中安裝網頁註冊 Proxy 電腦的網域。在此案例中,展開 [child.contoso.com]。

  4. 在左窗格中,展開找到網頁註冊 Proxy 電腦的容器或組織單位 (OU)。

  5. 在右窗格中,選擇網頁註冊 Proxy 電腦物件。

  6. 在 [執行] 功能表中,按一下 [內容]。

  7. 電腦物件的 [內容] 視窗便會出現。在 [一般] 索引標籤上,選取 [信任電腦進行委派] 核取方塊。

  8. 一個資訊視窗便會出現,以告知您有關這項作業的安全性敏感度。按 [確定] 兩次以關閉 [內容] 視窗。

啟用限制委派

與完整電腦信任委派相較下,限制委派只允許特定電腦上的特定服務帳戶模擬對象。

圖 4 說明如何在 Proxy 的 URL、服務主要名稱 (SPN) 及完整網域名稱 (FQDN) 之間,運用限制委派授權來實作名稱比對。

  1. 用戶端進入 http://caproxy.child.contoso.com URL 以存取網頁註冊頁。

  2. 在 Active Directory 中可以查詢到符合 URL 的 SPN,並識別出正確的應用程式集區。由於不同的應用程式集區可以共用相同的識別碼,這點是有必要的。若要讓用戶端能選擇適當的應用程式集區,就需要 HTTP SPN。

  3. 使用委派,CA 可以決定是否對 caproxy.contoso.com 允許「遠端程序呼叫」服務通訊協定。

  4. 如果允許通訊協定,CA 即可決定服務帳戶是否獲得委派信任。

  5. 如果能夠滿足所有委派需求,CA Proxy 即可模擬憑證要求者的對象。

    Dd164315.webenr04(zh-tw,TechNet.10).gif

    圖 4:運用限制委派的名稱比對實作

如同先前所提到的,只有在網域功能層級設定為 Windows Server 2003 時,限制委派才有作用。提高網域層級與樹系層級並沒有相依性。您可以提升網域層級而不提高樹系層級。Windows Server 2003 網域層級只對網頁註冊 Proxy 的主機電腦具有必要性。這表示如果您無法提高任何實際執行網域的網域層級,就該考慮採用暫時的獨立網域,以便在其中架設網頁註冊 Proxy 主機電腦。

運用 IIS 6.0 即可實作限制委派,這是因為限制委派支援應用程式集區,以致於允許 IIS 在不同的安全性內容中執行 Web 應用程式。

若要在實際執行系統上啟用限制委派,就必須執行幾個步驟。

  1. 設定個別的 IIS 服務帳戶。

  2. 設定 SPN。

  3. 設定服務帳戶的委派信任。

  4. 對 IIS 指定受信任的服務帳戶。

  5. 設定電腦帳戶的委派信任。

  6. 設定新的 IIS 應用程式集區。

如果計劃在您的環境中執行多重獨立網頁 Proxy 伺服器,對於每一個網頁註冊 Proxy 伺服器,您都必須重複所有 6 個步驟。然而,如果在安裝網頁註冊頁的多重節點,已經擁有就位的 IIS 叢集,您就只需要對叢集中的每個節點重複步驟 3 到步驟 6。

設定個別 IIS 服務帳戶

依預設值,憑證服務網頁註冊支援會在預設的應用程式集區中登錄,因此,也會使用「網路服務」的識別碼。若要準備變更網頁註冊支援的識別碼,您必須提供獨特的服務帳戶以獲得委派信任。請參閱<設定服務帳戶的委派信任>。

  1. 登入已安裝 [Active Directory 使用者和電腦] MMC 嵌入式管理單元的電腦。

  2. 按一下 [開始] 按鈕,指向 [執行],輸入 dsa.msc,然後按下 ENTER。

  3. [Active Directory 使用者和電腦] MMC 嵌入式管理單元便會出現。選擇已經在其中安裝網頁註冊 Proxy 的網域。在此案例中,展開 [child.contoso.com]。

  4. 在左窗格中,選擇 [使用者] 容器。如果選擇不同的組織單位,請確定沒有群組原則套用到該組織單位,因為如此可能會對服務帳戶的功能造成影響。

  5. 在 [執行] 功能表中,選擇 [新增],然後選擇 [使用者]。這個使用者帳戶在稍後會成為 IIS 的服務帳戶。

  6. 輸入 SPN<Servername> 做為完整名稱,其中您必須用網頁註冊 Proxy 伺服器的主機名稱取代 <Servername>,例如 SPNcaproxy。

  7. 並且將詞彙 SPN<Servername> 也輸入為 [使用者登入名稱] 和 [使用者登入名稱 (Windows 2000 前版)],然後按一下 [下一步]。

  8. 輸入兩次服務帳戶密碼,並清除 [使用者必須在下次登入時變更密碼] 核取方塊。

  9. 按一下 [完成] 以關閉精靈。

設定服務主要名稱

若要能夠在接下來的設定步驟中使用新建立的服務帳戶,您必須為服務帳戶登錄一個 SPN。SPN 就像是 Active Directory 帳戶的別名。若要登錄 SPN,您必須在電腦上安裝 setspn.exe 工具。在 Windows Server 2003 支援工具中可以取得這項工具。

SPN 的變更可以立即生效。用戶端辨認出帳戶的 SPN 以後,便會立即使用在服務帳戶的 Active Directory 物件中發現的 SPN。

若要設定 SPN,請執行下列步驟。

  1. 在登入電腦後,按一下 [開始] 按鈕,指向 [執行],輸入 cmd.exe,然後按下 ENTER。

  2. 若要登錄網頁註冊 Proxy 主機名稱,請在命令提示字元中,輸入下列命令,然後按下 ENTER。

    setspn –A http/<Servername> <ServiceAccount>

    其中您必須以網頁註冊伺服器的主機名稱取代 <Servername>,並用先前建立的服務名稱取代 <ServiceAccount>。例如:

    setspn –A http/caProxy SPNcaProxy

  3. 您也必須登錄伺服器的完整網域名稱 (FQDN)。在命令提示字元,輸入下列命令,然後按下 ENTER。

    setspn –A http/<FQDN-Servername> <ServiceAccount>

    其中您必須以網頁註冊伺服器的完整名稱取代 <FQDN-Servername>,並用先前建立的服務名稱取代 <ServiceAccount>。例如:

    setspn –A http/caProxy.child.contoso.com SPNcaProxy

  4. 若要確認設定值,請輸入下列命令,然後按下 ENTER。

    setspn –L SPNcaProxy

    命令輸出將會相似於下列文字:

    Registered ServicePrincipalNames for CN=SPNcaProxy,OU=Users,DC=child,DC=contoso,DC=com:
    http/caProxy
    http/caProxy.contoso.com

    如果您發現犯了一項錯誤,請以 setspn –D 刪除 SPN,並如先前所述地設定修正的 SPN。

    重要: 如果沒有適當設定 SPN,您可能會在用戶端試圖連線到網站時,經歷預料之外的行為。如果 SPN 已經設定完成,卻沒有網頁能在定義服務帳戶的內容中執行,便會出現下列錯誤訊息中的一項。The page cannot be displayed. (無法顯示此頁) 或是 You are not authorized to view this page. (您沒有檢視此頁的權限)。如需詳細資訊,請參閱<疑難排解>。

設定服務帳戶的委派信任

一旦建立服務帳戶,您就必須設定其委派功能。這個步驟讓服務帳戶能夠模擬使用者,並代表這些使用者要求憑證。

  1. 在登入電腦後,請在 [Active Directory 使用者和電腦] MMC 嵌入式管理單元中,選擇新建立的服務帳戶。

  2. 在 [執行] 功能表中,選擇 [內容]。

  3. 按一下 [委派] 索引標籤。如果看不到 [委派] 索引標籤,離您最近的網域控制站尚未辨認網域層級已經提升。

  4. 選取 [只信任這名使用者委派特定服務] 並選取 [僅使用 Kerberos]。

    注意: 唯有選擇 [使用任何驗證通訊協定],這項設定才有作用;然而,[僅使用 Kerberos] 的限制更多,並且建議在此設定中使用。

  5. 按一下 [新增]。

  6. 在 [新增服務] 視窗中,選擇 [使用者或電腦]。

  7. 在 [選擇使用者或電腦] 視窗中,輸入執行「憑證服務」的電腦名稱。請注意,此項並不是 Proxy 電腦的名稱。按一下 [確定] 。

  8. 在 [新增服務] 視窗中,從可用服務的清單中,選擇服務類型顯示為 [主機] 的項目,並按 [確定] 兩次以關閉 [內容] 視窗。

設定電腦帳戶的委派信任

在這個步驟中,您將會更進一步限制模擬的功能。您將定義何種通訊協定可以藉由允許委派的對象,從這部電腦初始化。

  1. 在登入電腦後,選擇網頁註冊 Proxy 的電腦帳戶。

  2. 在 [執行] 功能表中,選擇 [內容]。

  3. 按一下 [委派] 索引標籤。

  4. 選取 [只信任這部電腦委派特定服務],並選取 [使用任何驗證通訊協定]。

    注意: 依預設值,委派認證清單是空白的。然而,如果在清單中已經存在具有其他用途的項目,也沒有關係。預期中,現存的項目並不會形成衝突。

  5. 按一下 [新增]。

  6. 在 [新增服務] 視窗中,選擇 [使用者或電腦]。

  7. 在 [選擇使用者或電腦] 視窗,輸入將會執行「憑證服務」的電腦名稱。請注意,此項不是 Proxy 電腦的名稱。按一下 [確定] 。

  8. 在 [新增服務] 視窗,從可用服務的清單中,選取顯示為 [rpcss] 服務類型的項目,然後按 [確定] 兩次以關閉 [內容] 視窗。

  9. 關閉 [Active Directory 使用者和電腦] MMC 嵌入式管理單元。

  10. 登出您的電腦。

對 IIS_WPG 群組新增服務帳戶

若要允許帳戶使用 Web 應用程式集區的識別碼,帳戶必須在本機系統上具有特定權限。依預設值,IIS_WPG 群組 (工作處理序群組) 具有正確的權限組。在安裝 IIS 時,便會建立具有以下成員的 IIS_WPG 群組:「本機服務」、「網路服務」及「系統」。

您必須以手動新增服務帳戶,才能使其成為應用程式集區的識別身分。若要進行變更,請執行下列步驟。

  1. 在作為網頁註冊 Proxy 的電腦,以「系統管理員」權限登入。

  2. 按一下 [開始] 按鈕,指向 [執行],輸入 compmgmt.msc,然後按下 ENTER。

  3. 在左窗格中,展開 [本機使用者和群組] 物件,然後展開 [群組]。

  4. 在右窗格中,選擇 [IIS_WPG] 物件。

  5. 在 [執行] 功能表中,選擇 [內容]。

  6. 按一下 [新增] 並輸入 SPN<Servername>,也就是先前所建立的服務帳戶。

  7. 按 [確定] 兩次以便將帳戶新增為 IIS_WPG 群組的成員。

設定新 IIS 應用程式集區

這項 IIS 6.0 的功能,只有 IIS 在工作處理序隔離模式執行時才能使用。如需有關應用程式集區識別身分的詳細資訊,請參閱 Microsoft 網站的<設定應用程式集區識別>
https://www.microsoft.com/resources/documentation/WindowsServ/2000/standard/
proddocs/en-us/ca_cfgwrkridentity.asp (英文)

如同先前所提到的,CertSrv 應用程式需要服務帳戶的識別碼才能啟動限制委派。與其變更預設網站的識別碼,建議您不如建立在服務帳戶的安全性內容中執行的新應用程式集區。若要建立並設定新應用程式集區,請執行下列步驟。

  1. 在 [電腦管理] 主控台中,展開 [服務及應用程式] 節點,然後展開 [網際網路資訊服務 (IIS) 管理員]。

  2. 在左窗格中,選擇 [應用程式集區]。

  3. 在 [執行] 功能表中,選擇 [新增],然後選擇 [應用程式集區]。

  4. 對 [應用程式集區 ID],輸入 CertificateServices。此名稱並不特定,不過將會在後續的步驟中重新使用為 CertificateServices。

  5. 選取 [使用現存應用程式集區作為範本] 核取方塊。從清單中選擇 [DefaultAppPool],然後按一下 [確定]。

  6. 新建立的應用程式集區會在左窗格中遭到選取。在 [執行] 功能表上,選擇 [內容]。

  7. 按一下 [識別] 索引標籤。

  8. 選擇 [可設定]。

  9. 輸入先前建立服務帳戶的名稱,包括作為其網域名稱的 <domainname>\SPN<Servername> 類型,其中必須以建立服務帳戶所在的網域名稱取代 <domainname>,並以您的網頁註冊 Proxy 伺服器的主機名稱取代 <Servername>。

  10. 在適當的文字欄位中輸入服務帳戶的密碼,並按一下 [確定]。

  11. 密碼確認視窗便會出現,您必須在其中重新輸入服務帳戶的密碼。重新輸入密碼,然後按一下 [確定]。

  12. 按一下 [確定] 以關閉 [應用程式集區內容]。

  13. 在左窗格中,展開 [網站],以及 [預設網站]。在右窗格中,選擇 [CertSrv]。

  14. 在 [執行] 功能表中,選擇 [內容]。

  15. 在 [虛擬目錄] 索引標籤中,將應用程式集區從 [DefaultAppPool] 變更為 [CertificateServices]。

  16. 按一下 [目錄安全性] 索引標籤。

  17. 在 [驗證及存取控制] 區域中,按一下 [編輯]。

  18. 清除 [基本文字驗證 (密碼以純文字傳送)] 核取方塊,並確認只有選取 [整合的 Windows 驗證] 核取方塊。

  19. 按 [確定] 兩次以關閉 [內容] 視窗。

  20. 在 [檔案] 功能表中,按一下 [結束] 以關閉 [網際網路資訊服務 (IIS) 管理員]。

  21. 登出您的電腦。

限制委派的設定現在已經完成。現在您可以從網頁註冊 Proxy 電腦開始註冊憑證。

注意: 如果計劃再度解除安裝網頁註冊功能,您也必須從 IIS 設定中,以手動移除用手動建立的應用程式集區。

更改 Proxy 設定

在未來的特定時刻,會有可能需要變更網頁註冊 Proxy 的設定,以選擇不同伺服器上的「憑證授權」作為目標。幸運的是,憑證伺服器的名稱維持在網頁註冊 Proxy 上的 ASCII 文字檔中,因此相當容易更新。若要變更目標的憑證伺服器,請執行下列步驟。

  1. 在已安裝網頁註冊 Proxy 的電腦,登入為本機系統管理員。

  2. 若要找到伺服器設定字串,請在命令提示字元中,執行下列命令。

    certutil -dump

  3. 找到您要連線到的 CA,並對標記為 Config 的值記下區分大小寫的記錄。

  4. 使用 [記事本] 開啟並編輯網頁註冊 Proxy 電腦上的 %WINDIR%\system32\certsrv\certdat.inc 檔案。

  5. 此檔案具有一個稱作 global state 的區段。變更設定值中的 sServerType、sServerConfig 及 sServerDisplayName 變數,以用於新的憑證伺服器。如同先前所提到的,sServerConfig 參數是區分大小寫的。

  6. 儲存檔案並關閉 [記事本]。

網頁註冊用戶端先決條件

用戶端電腦可能需要一些設定準備,才能成為具有作用的網頁註冊用戶端。

任何執行早於 Windows 2000 SP4 或 Windows XP SP1 OS 版本,並且未安裝 Windows Hotfix 323172 的電腦 (https://support.microsoft.com/default.aspx?kbid=323172) 都會在首次造訪網頁註冊頁時,出現安裝憑證註冊控制項的提示。在電腦上首次安裝憑證註冊 ActiveX 元件,需要 Administrator 或 Power User 的權限。

設定 Internet Explorer

若要在 CA 與網頁註冊支援安裝到不同電腦的案例中,使用憑證網頁註冊,您必須在作為設定部分的所有用戶端上,至少安裝 Internet Explorer 版本 6.0.2600.0000。若是使用舊版,由於這些版本並不支援「整合的 Windows 驗證」,您將會辨認出造成失敗憑證註冊的驗證錯誤。

在任何情況下,您都必須確定根據以下連結所提供的生命週期資訊,安裝在用戶端電腦上的 Internet Explorer 版本依然受到支援:https://support.microsoft.com/default.aspx?kbid=fh;[ln];lifeprodi

啟用整合的 Windows 驗證

即使在兩種作業系統上都安裝相同的 Internet Explorer 版本,在 Windows 2000 與 Windows XP 的 Internet Explorer 6.0 預設網際網路選項也會有所不同。在 Windows 2000,您必須以手動啟用「整合的 Windows 驗證」。在 Windows XP,Internet Explorer 依預設值設定為「整合的 Windows 驗證」。若要啟動使用者特定設定值,請執行下列步驟。

  1. 在應當作為憑證網頁註冊用戶端的電腦,登入為將會透過網頁註冊來註冊憑證的使用者。

  2. 開啟 [Internet Explorer]。

  3. 在 [工具] 功能表中,按一下 [網際網路選項]。

  4. 在 [進階] 索引標籤中,下捲到 [安全性]。選取 [啟用整合的 Windows 驗證 (需要重新啟動)] 核取方塊。請注意,您並不需要重新啟動電腦,不過卻必須重新啟動 Internet Explorer 才能啟用這項設定值。

  5. 按一下 [確定] 並關閉 Internet Explorer。

對近端內部網路網站新增網頁註冊 URL

代表完整網域名稱 (FQDN) 的 URL,將會自動置入 Internet Explorer 的「網際網路安全性區域」中。

如果網頁 Proxy 是由屬於「網際網路安全性區域」的 URL 所參照,又需要「整合的 Windows 驗證」的話,委派就不可能產生作用。不過在此案例中,運用「基本文字驗證」的委派可以產生作用。

若要在使用 FQDN 參照網頁註冊 Proxy 時,啟動具有「整合的 Windows 驗證」的委派,您必須在 Internet Explorer 中新增近端內部網路網站的 URL。

  1. 在應當作為憑證網頁註冊用戶端的電腦,登入為將會透過網頁註冊來註冊憑證的使用者。

  2. 開啟 [Internet Explorer]。

  3. 在 [工具] 功能表,按一下 [網際網路選項],再按一下 [安全性] 索引標籤。

  4. 選擇 [近端內部網路],按一下 [網站],然後按一下 [進階]。

  5. 對網站清單新增網頁註冊 Proxy URL,然後按一下 [確定]。

網頁註冊元件

若要啟動作為網頁註冊用戶端的電腦,在電腦上必須安裝一項 ActiveX 元件 (Xenroll.dll) 以提供使用。具有 Hotfix 323172 和 SP4 之前的 Windows 2000、Windows 2000 SP4、具有 Hotfix 323172 的 Windows XP,以及 Windows XP SP1 都共用該元件的 5.131.3659 相同版本。Windows Server 2003 與 Windows XP SP2 也共用相同的 5.131.3686 版本。

取決於安裝在網頁註冊用戶端電腦上的版本,您必須安裝或升級註冊控制項。若要更新控制項,您可以使用下列兩種不同方法之一。

  • 在連線到網頁註冊頁時,透過 Internet Explorer 安裝元件。網頁註冊頁將會通知您需要安裝 ActiveX 控制項。當您試圖開啟下列之一的網頁時,這項通知便會出現。

    • 要求規律憑證

    • 進階憑證要求

    • 安裝憑證鏈結

    若要安裝此元件,您必須擁有本機系統管理員或進階使用者的權限。

  • 透過您的軟體部署機制,例如 Microsoft Systems Management Server (SMS),將 ActiveX 元件部署為軟體套件。

此 ActiveX 元件包含 2 個「動態連結程式庫」(DLL) 檔案,因此您必須能在互動安裝元件時,允許安裝 2 個 DDL。在已安裝網頁註冊頁的電腦,即可在 %systemroot%\system32\certsrv\certcontrol 找到這些 ActiveX DLL。

當您已經安裝 ActiveX 版本 5.131.3659,卻試圖從 Windows Server 2003 網頁註冊 Proxy 要求憑證時,用戶端就有可能收到下載新版本控制項的提議。若要解決這項問題,請參閱下列「Microsoft 知識庫」文件 https://support.microsoft.com/default.aspx?kbid=818026(英文)

憑證註冊案例

表 6 顯示所有支援憑證註冊,並將成功運用識別設定的案例。下列是用來描述這些元件的詞彙。

  • 網頁註冊 Proxy 註冊 Proxy 安裝在 Windows 2000 或 Windows Server 2003 伺服器上。在此欄中只有一種作業系統遭到選取。

  • 憑證服務 CA 安裝在 Windows 2000 伺服器或 Windows Server 2003。在此欄中只有一種作業系統遭到選取。

  • IIS 驗證模式 由網頁註冊支援所使用的網站可以接受「基本文字驗證」或「整合的 Windows 驗證」。在此欄中可以選取一或多種驗證方法。如果有多種驗證方法遭到選取,「整合的 Windows 驗證」會是比「基本文字驗證」更為偏好的方法。

  • 認證格式 由使用者輸入的驗證可以是 Windows NT Lan-Manager (NTLM) 格式 (domainname\username),或是使用者主要名稱 (username@domain)。

  • Internet Explorer (IE) Windows 驗證模式 透過 Internet Explorer 設定值,即可變更 Internet Explorer 的預設驗證行為。此欄解釋在 Internet Explorer 中如何開啟或關閉 Windows 驗證。

x 表示此欄適用。空白的欄位則表示相同群組中的不同欄適用。「無」表示沒有驗證視窗可以輸入驗證。

ID

用戶端 OS 版本

網頁註冊 Proxy

 

憑證服務

 

IIS 驗證模式

 

認證格式

 

IE 視窗自動模式

 

 

Windows

2000

Windows Server 2003

Windows

2000

Windows Server 2003

基本文字

Windows 整合

NTLM y\x

UPN
(x@y)

 
用戶端是網域成員

1

Windows 2000

x

 

 

x

x

 

x

 

關閉

2

Windows 2000

x

 

 

x

 

x

開啟

3

Windows 2000

x

 

 

x

x

x

開啟

4

Windows XP、
Windows Server 2003

x

 

 

x

x

 

x

 

關閉

5

Windows XP、
Windows Server 2003

x

 

 

x

 

x

關閉

6

Windows XP、
Windows Server 2003

x

 

 

x

x

x

關閉

7

Windows 2000

x

 

x

 

x

 

x

 

關閉

8

Windows 2000

x

 

x

 

 

x

開啟

9

Windows 2000

x

 

x

 

x

x

開啟

10

Windows XP、
Windows Server 2003

x

 

x

 

x

 

x

 

關閉

11

Windows XP、
Windows Server 2003

x

 

x

 

 

x

關閉

12

Windows XP、
Windows Server 2003

x

 

x

 

x

x

關閉

13

Windows 2000

 

x

 

x

 

x

開啟

14

Windows 2000

 

x

 

x

x

x

開啟

15

Windows XP、
Windows Server 2003

 

x

 

x

 

x

關閉

16

Windows XP、
Windows Server 2003

 

x

 

x

x

x

關閉
用戶端是工作群組成員

17

Windows 2000

x

 

 

x

x

 

x

 

關閉

18

Windows 2000

x

 

 

x

 

x

x

 

開啟

19

Windows 2000

x

 

 

x

x

x

x

 

關閉

20

Windows 2000

x

 

 

x

x

x

x

 

開啟

21

Windows XP、
Windows Server 2003

x

 

 

x

 

x

x

 

開啟

22

Windows XP、
Windows Server 2003

x

 

 

x

x

x

x

 

開啟

23

Windows 2000

x

 

x

 

x

 

x

 

關閉

24

Windows 2000

x

 

x

 

 

x

x

 

開啟

25

Windows 2000

x

 

x

 

x

x

x

 

開啟

26

Windows XP、
Windows Server 2003

x

 

x

 

x

 

x

 

開啟

27

Windows XP、
Windows Server 2003

x

 

x

 

 

x

x

 

開啟

28

Windows XP、
Windows Server 2003

x

 

x

 

x

x

x

 

開啟

29

Windows 2000

 

x

 

x

 

x

x

 

開啟

30

Windows 2000

 

x

 

x

x

x

x

 

開啟

31

Windows XP、
Windows Server 2003

 

x

 

x

 

x

x

 

開啟

32

Windows XP、
Windows Server 2003

 

x

 

x

x

x

x

 

開啟

表 6:支援憑證註冊的案例

注意: 如果電腦沒有啟動委派信任,錯誤訊息 The specified component could not be found in the configuration information. (在設定資訊中無法找到指定元件。)0x80070862 (WIN32:2146),便會在案例 ID 5、6、21 及 22 出現。

疑難排解

本節對不完整或不適當設定的用戶端或伺服器系統所造成的問題,提供解決方法的指導。每個案例的標題都代表對於試圖註冊的使用者或系統管理員顯示的錯誤訊息。對於每個案例,都有提供問題的簡短描述及建議的解決方案。

網頁註冊

以下一節涵蓋在網頁註冊設定中發生的主要問題。

下載 ActiveX 控制項訊息出現而後不再出現。

如果運用已安裝版本 5.131.3659.0 或更新版本的用戶端電腦,連線到 Windows CA 的網頁註冊頁,下載 ActiveX 控制項訊息便會先出現而後不再出現。

如果用戶端上的 Xenroll.dll 版本比 CA 上的 Xenroll.dll 版本新,這種行為就有可能發生。若要解決這項問題,請參閱下列 Microsoft 知識庫文件 https://support.microsoft.com/default.aspx?kbid=330389

ActiveX 控制項的適當版本在下載及安裝時失敗。

這項錯誤訊息可能會在下載 ActiveX 控制項訊息出現在進度列後,而且當您嘗試使用 Microsoft Windows 憑證伺服器來註冊智慧卡時顯示。當您嘗試從未安裝最新版本 Xenroll.dll 的用戶端電腦註冊憑證時,也有可能出現這項錯誤訊息。即使運用本機系統管理員權限登入以下載 ActiveX 控制項,如果網頁註冊 Proxy 的主網站不在 Internet Explorer 的「信任的網站」區域中,這項行為就會經常發生。若要解決這項問題,請參閱下列 Microsoft 知識庫文件 https://support.microsoft.com/default.aspx?kbid=330211

由於依照預設值,ActiveX 控制項的安裝遭到禁止,這項錯誤也可能會在 Windows XP SP2 發生。若要解決這項問題,請按一下 [確定] 以接受錯誤訊息,並用滑鼠右鍵按一下位址列下方的警告。在內容功能表中,按一下 [允許此頁安裝 ActiveX 控制項]。重新整理頁面並繼續安裝控制項。

在已經登入網域以後,您會收到要求認證的提示。

如果試圖從作為網域成員的電腦存取網頁註冊頁,而且運用有效的網域認證登入,就有可能出現登入視窗。如果網頁註冊支援及 CA 安裝在不同電腦,而且已經啟動「整合的 Windows 驗證」,就會發生這項行為。

若要在網頁註冊支援適當執行「整合的 Windows 驗證」,您必須在 Internet Explorer 的「近端內部網路」區域中,新增參照網頁註冊 Proxy 的 URL。此外,「近端內部網路」區域的安全性設定值中的預設使用者驗證設定值必須維持不變。

無法發現任何憑證範本。您沒有權限要求...

如果作為智慧卡註冊代理,體驗到這項錯誤訊息,請參閱<智慧卡註冊代理>中的相同錯誤訊息。

當用戶端嘗試從 [進階憑證要求] 頁要求憑證時,就有可能收到資訊訊息 No certificate templates could be found (找不到任何憑證範本)。You do not have permissions to request a certificate from this CA, or an error occurred while accessing the Active Directory. (您沒有權限從這個 CA 要求憑證,或是在存取 Active Directory 時發生錯誤。)若要解決這項問題,您將需要檢查幾項設定值。

首先,如同下列 Microsoft 知識庫文件所描述的,確認您 CA 的設定字串 https://support.microsoft.com/default.aspx?kbid=811418

接下來,如果無法使用該文件解決問題,請從 [憑證] MMC 嵌入式管理單元確認使用者憑證註冊是否適當作用。如果作用正常,則請確認憑證要求者對 CA 及憑證範本的權限。若要確認使用者對可用範本的權限,您可以在要求者的安全性內容中,執行 Windows Server 2003 版本的 certutil。如需有關如何取得您系統的最新版本 certutil 資訊,請參閱附錄中的<如何在非 Windows Server 2003 電腦使用最新版本的 certutil>。然後,在命令提示字元中執行下列命令。

certutil -template

對於每個無法由目前登入使用者所使用的憑證範本,您都會看到「拒絕存取」(Access denied) 的狀態。例如:

Administrator:Administrator -- Access is denied.
CA:Root Certification Authority -- Access is denied.
CAExchange:CA Exchange -- Access is denied.
CEPEncryption:CEP Encryption -- Access is denied.
ClientAuth:Authenticated Session 
CodeSigning:Code Signing -- Access is denied.

在上一個案例中,使用者只能運用 ClientAuth 憑證範本來註冊憑證。

如果使用者的權限經過正確設定,在 certdat.inc 檔案中定義的設定字串,其大小寫就有可能不同於 CA 的相同設定字串。請注意,設定字串是區分大小寫的 若要找出正確的設定字串,請在網頁註冊 Proxy 電腦執行 certutil.exe 命令而不使用任何命令選項。此命令將會顯示可以在此樹系中使用的所有 CA 清單。請從命令輸出複製對應的 CA 設定字串,並將其貼入 certdat.inc 檔案。如需此程序的詳細資訊,請參閱<更改 Proxy 設定>。

另一項可能理由 (雖然極為少見),便是您所體驗的問題是網頁註冊 Proxy 的憑證範本快取尚未重新整理,因此新允許的憑證範本不會出現。若要以手動重新整理憑證範本快取,請在 CA Proxy 電腦登入為系統管理員。

在 Windows 2000 網頁註冊 Proxy 執行下列命令。

Secedit /refreshpolicy machine_policy /enforce

在 Windows Server 2003 網頁註冊 Proxy 執行下列命令。

gpupdate /force

注意: 如果這樣無法重新整理憑證範本快取,請參閱 Microsoft 知識庫文件<使用新範本的憑證要求未能成功>以強制快取的重新整理 https://support.microsoft.com/default.aspx?kbid=281260

Internet Explorer 會重新整理登入視窗,事件 ID 100 則會從來源記錄到網頁註冊應用程式記錄檔中。W3SVC

沒有運用網域認證登入其電腦的用戶端,都會通知 Internet Explorer 在提供正確憑證之後,重新整理登入視窗。網頁註冊 Proxy 會對每次的登錄嘗試,從來源 W3SVC 記錄事件 ID 100。

如果網頁註冊 Proxy 在 Windows 2000 執行,並將 CertSrv 的驗證方法設定為「基本文字驗證」,便會發生這項問題。一項「群組原則」可能曾經從網域套用,而不允許使用者從本機登入。

由於這是建議的驗證方法,若要解決這項問題,請將驗證方法變更為「整合的 Windows 驗證」。否則,您必須允許使用者帳戶,或是使用者帳戶所屬的群組,在本機登入。

設定資訊中找不到指定的元件。0x80070862

用戶端可能收到這項錯誤訊息。No messages are found in the Event Viewer—neither on the Web enrollment proxy nor on the CA computer corresponding to this transaction. (在事件檢視器中找不到錯誤訊息─不論是在網頁註冊 Proxy 或是對應此異動的 CA 電腦中。)

通常 Windows 2000 工作群組或聯結網域電腦,沒有在 Internet Explorer 明確啟用「整合的 Windows 驗證」時,便會發生這項錯誤。在此情況下,Windows 2000 網頁註冊 Proxy 與安裝在不同電腦的 Windows Server 2003 CA 搭配使用。網頁註冊 Proxy 的驗證方法設定為「整合的 Windows 驗證」。

或者,如果在 Internet Explorer 依預設值啟用「整合的 Windows 驗證」,並與 Windows XP 用戶端搭配使用,則當使用者運用使用者主要名稱 (UPN),從非聯結網域電腦登入到將 CA 安裝在 Windows Server 2003 的 Windows 2000 註冊 Proxy 時,也會發生這項錯誤。

若要解決這項問題,請在 Windows 2000 電腦的 Internet Explorer 中,啟用「整合的 Windows 驗證」。在 Windows XP 電腦對網頁註冊網站進行驗證時,請使用 domainname\username 而非 UPN。

您的憑證要求導致事件 ID 53 而被拒。

用戶端收到錯誤訊息 Certificate request was denied (憑證要求被拒)。CA 電腦會在其應用程式記錄檔中記錄事件 ID 53 如下:

Event Type:    Warning 
Event Source:    CertSvc 
Event Category:    None 
Event ID:    53 
Date:        3/23/2004 
Time:        3:20:08 PM 
User:        N/A 
Computer:    W2K-E-CA 
Description:
Certificate Services denied request 14 because Access is denied.  
0x80070005 (WIN32:5).The request was for (Unknown Subject).  
Additional information: Denied by Policy Module

這項問題只會在將網頁註冊 Proxy 及 CA 安裝到兩部不同 Windows 2000 電腦時發生。

如果沒有在 Internet Explorer 中明確啟用「整合的 Windows 驗證」,這項問題也可能在 Windows 2000 工作群組或聯結網域用戶端電腦上發生。在此情況下,Windows 2000 網頁註冊 Proxy 與 Windows 2000 CA 搭配使用。網頁註冊 Proxy 的驗證方法設定為「整合的 Windows 驗證」。

或者,如果依預設值,啟用「整合的 Windows 驗證」,並搭配使用 Windows XP 用戶端,當使用者從非聯結網域電腦運用 UPN 登入時,也會發生這項錯誤。

若要解決這項問題,請在 Windows 2000 電腦的 Internet Explorer 中,啟用「整合的 Windows 驗證」。在 Windows XP 電腦對網頁註冊網站進行驗證時,請使用 domainname\username 而非 UPN。

COM 錯誤資訊:CCertRequest::Submit 存取遭到拒絕。0x80070005 (WIN32:5)

如果用戶端收到這項錯誤訊息,建議的原因為:The Certification Authority Service has not been started. (憑證授權服務尚未啟動。)這是一項一般的 DCOM 錯誤,其中建議的原因並不精確。

既然網頁註冊 Proxy 具備有效的委派權限,只有網頁註冊 Proxy 與 CA 安裝在不同的 Windows Server 2003 電腦時,才會發生這項問題。若要解決這項問題,必須考慮以下的一或多項問題。

  • 一般而言,如果 CertSrv Web 應用程式設定為「基本文字驗證」,此問題即為所有種類用戶端的問題 (以 Windows 2000 或 Windows XP 作為網域或工作群組成員的用戶端)。在此情況下,請將 CertSrv Web 應用程式的驗證方法變更為預設值:「整合的 Windows 驗證」。

  • 如果驗證方法已設定為「整合的 Windows 驗證」,該項就尚未在 Internet Explorer 中啟用。若要在 Internet Explorer 中啟用「整合的 Windows 驗證」,請參閱<啟用整合的 Windows 驗證>。

  • 如果您從 CA 電腦的非信任網域的成員電腦,對網頁註冊頁進行存取,而且您運用 CA 所屬樹系中的帳戶登入,若是兩個帳戶共用相同的密碼,驗證便會失敗。例如:您登入到一部電腦,此電腦是工作群組成員,其所具有的帳戶在 Active Directory 樹系中存在為不同的帳戶。兩個帳戶都共用相同的密碼。在此情況下,「整合的 Windows 驗證」便會失敗。若要解決這項問題,請變更其中一個帳戶的密碼。

  • 此外,在 Windows XP 用戶端試圖以 UPN 登入,而且 CertSrv Web 應用程式的驗證方法設定為「整合的 Windows 驗證」時,也會發生這項問題。請確定使用者在登入網站時永遠執行 domainname\username 帳戶格式,而非 UPN 格式。

  • 如果上述建議無法解決問題,請確認 DNS 設定,並確定執行「憑證服務」的電腦可以適當解析網頁註冊 Proxy 的名稱,而且也能解析其網域的網域控制站。

  • 最後,請確認主機名稱是參照網頁 Proxy 的 URL 的一部分,而且此網頁 Proxy 符合網頁註冊 Proxy 的已登錄 SPN。如果在 URL 中使用 IP 位址而非主機名稱,您就必須將 IP 位址登錄為網頁註冊 Proxy 的 SPN。如需有關適當登錄 SPN 的資訊,請參閱<設定服務主要名稱>。

  • 如果在網頁註冊 Proxy 與 CA 電腦之間使用防火牆,請確定 RPC 傳輸不會遭到篩選。

出自來源 DCOM 的事件 ID 10006

在網頁註冊 Proxy 的系統記錄中的錯誤訊息,可能包含類似下列的項目:

Event Type:    Error 
Event Source:    DCOM 
Event Category:    None 
Event ID:    10006 
Date:        3/17/2004 
Time:        6:18:39 PM 
User:        CAPROXY\Administrator 
Computer:    CAPROXY 
Description:
DCOM got error "General access denied error" from the computer 
W2K3-E-CA.contoso.com when attempting to activate the server:
{D99E6E74-FC88-11D0-B498-00A0C90312F3}

這項錯誤的最為常見理由是不適當或不存在的委派權限。若要解決這項問題,請確定已經適當設定委派信任。如需有關適當設定的詳細資訊,請參閱<在電腦層級啟用委派信任>或<啟用限制委派>。

找不到物件或內容。0x80092004 (-2146885628)

Windows 2000 CA 應用程式記錄檔中的錯誤訊息可能包含類似下列的項目:

Event Type:    Error 
Event Source:    CertSvc 
Event Category:    None 
Event ID:    21 
Date:        3/18/2004 
Time:        12:33:52 PM 
User:        N/A 
Computer:    W2K-E-CA 
Description:
Certificate Services could not process request 4 due to an error:
Cannot find object or property.0x80092004 (-2146885628).The request 
was for (Unknown Subject).

如果試圖從 Windows Server 2003 網頁註冊 Proxy 存取 Windows 2000 CA,便會顯示這項錯誤訊息。這項設定不受支援。若要解決這項問題,請將 CA 的作業系統升級為 Windows Server 2003,或使用搭配 Windows 2000 CA 的 Windows 2000 網頁註冊 Proxy。

配置訊息為 Denied by Policy Module (由原則模組拒絕)。

如果用戶端收到這項錯誤訊息,憑證要求就已經抵達憑證服務。CA 原則模組已經確認所有主要憑證屬性都可在憑證要求或要求者 Active Directory 物件中使用。由於並未適當提供所有的屬性,因此會發生失敗。CA 電腦會在應用程式記錄檔中記錄有關事件 ID 53 問題的更多詳細資料。例如:

Event Type:    Warning 
Event Source:    CertSvc 
Event Category:    None 
Event ID:    53 
Date:        3/22/2004 
Time:        8:01:30 PM 
User:        N/A 
Computer:    W2K3-E-CA 
Description:
Certificate Services denied request 10 because The EMail name is unavailable
and cannot be added to the Subject or Subject Alternate name.0x80094812 
(-2146875374).The request was for CONTOSO2\JimKim.Additional information:
Denied by Policy Module

若要解決這項問題,請使用 [Active Directory 使用者和電腦] MMC 嵌入式管理單元,對使用者帳戶新增遺失的屬性。

從 Intel IA64 用戶端對 Windows 2000 CA 進行憑證註冊失敗。

如果您試圖使用以 Windows 2000 CA 作為主機的網頁註冊頁來註冊憑證,Intel (IA64) 用戶端便會失敗。若要解決這項問題,請參閱下列 Microsoft 知識庫文件 https://support.microsoft.com/default.aspx?kbid=283237

限制委派

本節說明在設定限制委派後可能發生的錯誤訊息。不幸的是,一些錯誤訊息會因為多種理由發生;因此,您必須確定多重設定值的正確設定。

您沒有檢視此頁的權限。

當聯結網域用戶端連線到網頁註冊頁時,未預期的視窗可能出現並要求使用者認證。在輸入適當的認證以後,視窗便會重新整理。在輸入認證 3 次而未成功以後, 便會出現 You are not authorized to view this page (您沒有檢視此頁的權限) 的錯誤訊息。

若要解決這項問題,必須考慮以下的一或兩項問題。

  • 首先,確認服務帳戶已經設定 SPN。服務帳戶可能尚未登錄任何 SPN。若要修正 SPN 設定值,請參閱<設定服務主要名稱>。這項問題可在用戶端重新啟動其網頁瀏覽器後立即解決。

  • 其次,確認 IIS 設定並確定 CertSrv 應用程式在適當的應用程式集區中執行。請參閱<設定新 IIS 應用程式集區>以修正此設定值。變更應用程式的應用程式集區,並不需要重新啟動網頁或 Web 伺服器。這項問題可在用戶端重新啟動其網頁瀏覽器後立即解決。

無法顯示此頁 (找不到伺服器或是 DNS 錯誤)。

當非聯結網域用戶端已經輸入使用者認證,並連線到網頁註冊頁,而 SPN 卻未作過適當登錄;或是 CertSrv 應用程式在錯誤的應用程式集區執行時,便會出現這項錯誤訊息。

若要解決這項問題,請參閱 <您沒有檢視此頁的權限>中,對此問題的建議解決方案。

此錯誤也可能由不尋常的大型用戶端公開金鑰造成,在下列 Microsoft 知識庫文件中對此有所說明 https://support.microsoft.com/default.aspx?kbid=278475

結果:拒絕存取。0x80070005 (WIN32:5)

由於 DCOM 是標準的通訊協定,因此不會提供「憑證服務」的任何特定錯誤訊息。如果用戶端收到「拒絕存取」的錯誤訊息,相關事件不是記錄在安裝 CA 電腦的「事件檢視器」中,就是記錄在網頁註冊 Proxy 之上。然而,下列是產生這項錯誤的一些更為常見問題。

SPN 設定不正確。

如果服務帳戶的 SPN 作過設定,但是設定並不正確,便有可能出現「拒絕存取」錯誤。請確定只將 SPN 設定為 http 的服務類型。如果服務帳戶已經登錄其他服務類型,例如 host,請移除這些服務類型。修正這項問題的方法,會由存取網頁註冊頁的用戶端立即辨認出來。

服務帳戶設定為敏感和無法委派。

這項錯誤訊息可能由於 2 項原因產生:

  • 如果服務帳戶的帳戶選項中設定 [這是機密帳戶,無法委派],便會發生「拒絕存取」錯誤。若要解決這項問題,請使用 [Active Directory 使用者和電腦] MMC 嵌入式管理單元,開啟帳戶內容,並清除 [這是機密帳戶,無法委派] 核取方塊。

    如果使用「整合的 Windows 驗證」,登入安裝網頁註冊 Proxy 所在樹系中網域帳戶的使用者,就必須登出並再度登入以辨認這項變更。這是因為用戶端必須重新整理其網頁註冊 Proxy 服務主體的 Kerberos 票證。網頁 Proxy 的安全性主體只會在登入時重新整理。與其登出,您也可以運用 klist.exe 來清除票證,此程式可在 Windows Resource Kit 取得。

    從工作群組電腦連線的使用者必須關閉其網頁瀏覽器,並在網頁註冊頁重新驗證以辨認這項變更。

    – 或者 –

  • 如果在使用者帳戶的委派設定中,電腦名稱設定錯誤,就有可能發生「拒絕存取」錯誤。請確定服務帳戶可以呈送委派認證的服務,會設定為透過網頁註冊頁存取的 CA 電腦名稱。此外,如需詳細資訊,請參閱<設定服務帳戶的委派信任>。

    當用戶端存取網頁註冊頁時,便會立即辨認出服務帳戶委派設定值的變更。此作業與 Kerberos 票證沒有相依性。

電腦帳戶委派設定為僅使用 Kerberos

如果電腦物件的委派設定值設定為僅使用 Kerberos,就有可能發生「拒絕存取」錯誤。電腦帳戶必須遵循 [委派] 視窗中的任何驗證通訊協定。如需詳細資訊,請參閱<設定電腦帳戶的委派信任>。

想要變更這項設定值,就需要在每部網頁註冊 Proxy 電腦上清除 SPN 的所有 Kerberos 票證。請在套用正確變更後,使用 Windows Resource Kit 中的 kerbtray.exe 或 klist.exe 來清除這些票證。

電腦帳戶設定為錯誤的委派服務。

如果電腦物件的委派設定值在設定時並不正確,就有可能發生「拒絕存取」錯誤。若要修正設定值,請參閱<設定電腦帳戶的委派信任>。

想要變更這項設定值,就需要在每部網頁註冊 Proxy 電腦上清除 SPN 的所有 Kerberos 票證。請在套用正確變更後,使用 Windows Resource Kit 中的 kerbtray.exe 或 klist.exe 來清除這些票證。

憑證服務尚未啟動。

如果在網頁註冊 Proxy 的 %WINDIR%\system32\certsrv\certdat.inc 檔案所設定的憑證服務尚未啟動,或是無法存取,就有可能發生「拒絕存取」錯誤。

若要解決這項問題,請啟動憑證服務或編輯 certdat.inc 檔案,以允許網頁註冊 Proxy 存取正確的 CA。

無法使用服務 - 來自 W3SVC 的事件 ID 1057 和 1059。

試圖連線到網頁註冊頁的用戶端收到「無法使用服務」的錯誤訊息。這表示 Web 應用程式尚未啟動。這項錯誤的原因,在於系統管理員已經關閉 CertSrv 應用程式,或是應用程式集區由於失敗而無法啟動。

您可能在網頁註冊 Proxy 事件檢視器的系統記錄檔中,注意到下列事件。

Event Type:    Warning 
Event Source:    W3SVC 
Event Category:    None 
Event ID:    1057 
Date:        3/22/2004 
Time:        12:06:43 PM 
User:        N/A 
Computer:    CAPROXY 
Description:
The identity of application pool 'CertSrv' is invalid, so the World Wide 
Web Publishing Service can not create a worker process to serve the 
application pool.  Therefore, the application pool has been disabled.

在此事件之後,便會立即顯示下列事件。

Event Type:    Error 
Event Source:    W3SVC 
Event Category:    None 
Event ID:    1059 
Date:        3/22/2004 
Time:        12:06:43 PM 
User:        N/A 
Computer:    CAPROXY 
Description:
A failure was encountered while launching the process serving application 
pool 'CertSrv'.The application pool has been disabled.

在此情況下,先前建立的服務帳戶 (SPN<Servername>),很有可能並未新增到網頁註冊 Proxy 電腦上的 IIS_WPG 群組。若要對 IIS 工作處理序群組新增服務帳戶,請參閱<對 IIS_WPG 群組新增服務帳戶>。在對該群組新增帳戶以後,您必須以手動啟動應用程式集區。在解決此問題以後,用戶端將會立即辨認變更。

智慧卡註冊代理

找不到任何憑證範本。您沒有要求的權限。

如果試圖以智慧卡註冊代理的身分註冊憑證,若是指定到您 CA 的範本都不需要授權簽章,就有可能收到這項錯誤訊息。在簽章用途的發行需求中,憑證範本是必要的一項需求。

您也可能在電腦用來作為註冊站,而且不是您的 Active Directory 樹系網域成員時,看到這項錯誤。您不能使用在不受信任的 Active Directory 網域中,為其工作群組成員或是成員的電腦。沒有在 Active Directory 適當登錄的註冊站,將會在其系統事件記錄檔中,報告 DCOM 錯誤 10006 及錯誤 10021。

在智慧卡註冊站無法使用自訂智慧卡範本。

如果註冊代理瀏覽至「智慧卡憑證註冊站」,可能無法如預期地使用憑證範本。有幾種原因可能造成這項錯誤。其中較為常見的一項問題,便是需要具有多重簽章的自訂範本。若要解決這項問題,請參閱下列 Microsoft 知識庫文件 https://support.microsoft.com/default.aspx?kbid=313629

另一項常見的問題,則是第 2 版的智慧卡範本,沒有在 [憑證範本] MMC 嵌入式管理單元的 [處理要求] 索引標籤中,包含適當的用途。此用途必須是「簽章和智慧卡登入」,才能使範本出現在網頁註冊頁中。

如需詳細疑難排解說明,請遵循<找不到任何憑證範本>中的疑難排解步驟。您沒有權限要求...

在網頁註冊頁中無法使用自訂 CSP。

如果使用自訂「密碼編譯服務提供者」(CSP),透過網頁註冊支援來註冊憑證,就必須滿足兩項先決條件。

  • CSP 必須在範本中明確啟用。

  • CSP 的開發人員必須確定 PP_IMPTYPE 的 API 函式 CryptGetProvParam 會傳回 CRYPT_IMPL_REMOVABLE。如需此函式的詳細資訊,請參閱 MSDN Library 並搜尋此函式的名稱。

若要在範本上啟用 CSP,必須能在運用 [憑證範本] MMC 嵌入式管理單元 (certtmpl.msc) 執行憑證範本管理的電腦中使用 CSP。若要對範本新增 CSP,請執行下列步驟。

  1. 在用來進行憑證範本管理的電腦,以擁有範本管理權限的使用者身份登入。依預設值,只有 Enterprise Administrators 群組的成員能夠維護憑證範本。

  2. 若要確認自訂 CSP 已經在您的本機系統適當登錄,請在命令提示字元執行下列命令。

    certutil -csplist

  3. 若要開啟 [憑證範本 MMC 嵌入式管理單元],請在命令提示字元執行下列命令。

    Certtmpl.msc

  4. 在 [MMC 嵌入式管理單元] 的右窗格中,選擇應該用於具有自訂 CSP 的憑證註冊的範本。

  5. 在 [執行] 功能表中,選擇 [內容] 以開啟範本的內容。

  6. 在 [處理要求] 索引標籤,按一下 [CSP]。

  7. 自訂 CSP 應該會出現在 CSP 清單中。選取 CSP 的核取方塊,並按 [確定] 兩次以關閉 [內容] 視窗。

您必須對任何應該使用自訂 CSP 的憑證範本,重複步驟 2 到步驟 5。

在試圖使用智慧卡註冊時發生「未預期錯誤」。

若要解決這項問題,請參閱下列 Microsoft 知識庫文件 https://support.microsoft.com/default.aspx?kbid=262262

這項未預期錯誤可能會在網頁註冊站發生而傳回錯誤 0x800706BA。在此同時,作為網頁註冊站的電腦會在其系統事件記錄檔中記錄 DCOM 錯誤 10009。

插入太多相同類型的智慧卡。

在註冊代理需要智慧卡憑證才能登入,而且憑證儲存在用來簽章憑證要求的不同智慧卡的案例中,就有可能出現這項錯誤:Too many smart cards of the same type are inserted. (插入太多相同類型的智慧卡。)Please insert only one user smart card and try again. (請只插入一張使用者智慧卡並再試一次。)

位於網頁註冊頁的智慧卡註冊站控制項,在存取智慧卡註冊代理憑證時,期待與智慧卡預設容器關聯的金鑰容器中的憑證。然而,如果預設容器與其他智慧卡的登入憑證關聯,對於註冊代理憑證的存取就會失敗。

如果登入憑證與註冊代理憑證必須駐留在智慧卡上,建議您註冊並對註冊代理使用可用於憑證註冊與智慧卡登入的單一憑證。

常見問題集

Microsoft 是否支援網頁註冊頁的自訂化?

有的。網頁註冊頁可以根據您的需要進行自訂。如需詳細資訊,請參閱下列 Microsoft 網站
https://msdn.microsoft.com/library/en-us/security/security/
customizing_the_certificate_services_web_enrollment_pages.asp (英文)

是否有當地語系化版本的網頁註冊頁?

沒有。很遺憾的,沒有任何當地語系化版本。所有的網頁註冊頁都只能以英文使用。

是否有可能透過網頁註冊支援來更新憑證?

不行。依預設值,沒有實作這項功能。您必須自訂網頁註冊頁才能啟用這項功能。或者,您可以透過進階網頁註冊頁來提交 PKCS#7 要求。

如何能透過網頁註冊支援來註冊機器憑證?

登入為本機系統管理員群組成員的使用者,即可要求目前電腦的機器憑證。在透過 [進階憑證要求] 頁面要求憑證時,您必須選取 [將憑證存放在本機電腦憑證存放區] 核取方塊。遺憾的是,並非每種電腦憑證範本都能透過網頁註冊支援使用。您可以運用 IPsec (離線) 或 Webserver 範本來發行電腦憑證,因為這兩種範本都允許用戶端在要求中提供主題資訊。v1 電腦範本只能在 [憑證] MMC 嵌入式管理單元使用。

我如何能夠限制註冊代理的要求功能?

在網頁註冊支援的預設實作中,並沒有任何方法能讓註冊代理不要求任何使用者的憑證。要實作此種功能,就需要自訂網頁註冊頁。

是否有可能運用網頁註冊支援,啟用智慧卡的金鑰保存?

一般而言,金鑰保存需要提供金鑰保存的憑證服務供應者。可以預期的是,智慧卡 CSP 將會在未來支援這項功能。

附錄

如何在非 Windows Server 2003 電腦使用最新版本的 certutil

Certutil 是一項命令列工具,具有豐富的功能集,並特別適用於疑難排解。Windows Server 2003 Administration Tools Pack 含有最新版本的 certutil.exe。若要在 Windows 2000 電腦安裝這項工具,由於無法將之直接安裝到 Windows 2000 電腦,您必須先將 Windows Server 2003 Administration Tools Pack 安裝到 Windows XP 或 Windows Server 2003 系統。

Windows Server 2003 Administration Tools Pack 可由下列網址下載取得
https://www.microsoft.com/downloads/details.aspx?FamilyID=
c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en (英文)

若要在 Windows 2000 系統安裝這項工具,請執行下列步驟。

重要: 一旦將新的檔案複製到非 Windows Server 2003 電腦,電腦上便會駐留著這些檔案的兩種版本。請勿移除原始安裝的檔案,因為其他應用程式 (例如,憑證 MMC 嵌入式管理單元) 必須依靠這些原始的版本。而且,請勿透過 regsvr32.exe 命令,在 Windows 2000 系統上登錄 certcli.dll 和 certadm.dll。

  1. 登入執行 Windows XP SP1 或 Windows Server 2003 的電腦。

  2. 安裝 Windows Server 2003 Administration Tools Pack。

  3. 將下列檔案複製到例如軟碟片的卸除式媒體。

    • certutil.exe

    • certcli.dll

    • certadm.dll

  4. 登出電腦。

  5. 使卸除式媒體能在 Windows 2000 電腦使用。

  6. 在 Windows 2000 電腦登入為系統管理員,並建立新目錄以儲存檔案。例如:%HOMEDRIVE%\W2K3AdmPak。

    注意: 您應該不要在系統搜尋路徑中包含此路徑,才能避免和已經存在於電腦的工具版本發生衝突。

  7. 從卸除式媒體,將 4 個檔案複製到新建立的目錄中。

  8. 登出 Windows 2000 電腦。

摘要

如同本白皮書所徹底示範的,Windows Server 2003 提供耐用而具有彈性的平台,並以高度的網路安全性,支援分散式環境中的憑證註冊選項。本白皮書的主要焦點在於:示範在混合 Windows 版本的環境中,如何實作 CA 及限制註冊授權。然而,系統管理員也可以採用這些概念與疑難排解資訊,在將用戶端或伺服器通訊限制到極少通訊埠的安全網路中,設定其擁有的憑證註冊基礎結構。

相關連結

請參閱下列資源以取得更進一步的資訊。