ICertificateEnrollmentServerSetup::Install-Methode (casetup.h)
Die Install-Methode installiert den Zertifikatregistrierungswebdienst (Certificate Enrollment Web Service, CES), der vom ICertificateEnrollmentServerSetup-Objekt konfiguriert wurde.
Syntax
HRESULT Install();
Rückgabewert
| Rückgabecode | Beschreibung |
|---|---|
|
Der name, der für das Ereignisablaufverfolgungsverzeichnis oder das Anwendungsverzeichnis angegeben wurde, war bereits vorhanden, stellte aber eine Datei anstelle eines Verzeichnisses dar. |
|
Die CES-Anwendung ist bereits vorhanden. Weitere Informationen finden Sie unter Hinweise. |
|
Das ICertificateEnrollmentServerSetup-Objekt wurde nicht initialisiert.
Der Wert der ErrorString-Eigenschaft ist auf "Das Setupobjekt wurde nicht initialisiert. Initialisieren Sie das Setupobjekt mit der InitializeInstallDefaults-Methode." |
Hinweise
Diese Funktion führt die folgenden Aktionen aus:
- Initialisiert die Windows-Verwaltungsinstrumentation (WMI).
-
Überprüft die CES-Konfiguration, indem überprüft wird, ob noch keine Anwendung mit demselben Namen vorhanden ist. Der Anwendungsname ist Teil der CES-URL, bei der die URL das Format "https:// computerDNSname/SanitizedCAShortName_ces_AuthenticationType/service.svc/ces" hat. Der Anwendungsname besteht aus "SanitizedCAShortName_ces_AuthenticationType", wobei AuthenticationType einer der folgenden Sein kann:
- Kerberos
- usernamepassword
- Zertifikat
Hinweis Wenn eine Anwendung mit demselben Namen vorhanden ist, wird die ErrorString-Eigenschaft auf "Setup konnte diesen Rollendienst nicht hinzufügen, da er bereits auf der Standardwebsite vorhanden ist. Entfernen Sie den vorhandenen Rollendienst, oder wählen Sie eine andere Zertifizierungsstelle oder einen anderen Authentifizierungstyp aus." -
Erstellt das Anwendungsverzeichnis %windir%\systemdata\ces\SanitizedCAShortName_ces_AuthenticationType . Hinweis Diese Methode gibt keinen Fehler zurück, wenn der angegebene Name bereits als Verzeichnis vorhanden ist, aber wenn der angegebene Name als Datei vorhanden ist oder ein anderer Fehler aufgetreten ist, gibt die Methode ein Fehler-HRESULT zurück und legt die ErrorString-Eigenschaft auf "Fehler beim Erstellen des Verzeichnisses %1" fest.
- Erstellt das Ereignisablaufverfolgungsverzeichnis %windir%\systemdata\ces\SanitizedCAShortName_ces_AuthenticationType\Traces.
- Erstellt die dateien Web.config und Service.svc und schreibt sie in das Anwendungsverzeichnis. Wenn die Dateien bereits vorhanden sind, werden sie überschrieben.
- Erstellt einen IIS-Anwendungspool. Standardmäßig wird der Pool unter dem Konto ApplicationPoolIdentity ausgeführt. Um eine andere Identität zu verwenden, müssen Sie sie nach der Installation der CES-Rolle manuell ändern.
- Erstellt die Anwendung auf der Standardwebsite.
- Erstellt eine sichere (HTTPS)-Bindung an Port 443 und legt den Zertifikathash fest, wenn während der Konfiguration angegeben wurde.
- Legt die IIS-Authentifizierung auf anonym fest, wenn Sie SetProperty aufgerufen und X509AuthCertificate oder X509AuthUsername im pPropertyValue-Argument angegeben haben. Legt die Authentifizierung auf Windows fest, wenn Sie SetProperty und X509AuthKerberos aufgerufen haben.
- Legt SSL-Flags abhängig vom Typ der Authentifizierung fest, der während der Konfiguration ausgewählt wurde. Die Standardflags für alle Authentifizierungstypen sind SSL (erfordert einen sicheren Kanal) und SSL_128 (128-Bit-Verschlüsselung). Wenn Sie X509AuthCertificate angeben, werden außerdem die Flags SSL_REQUIRE_CERT und SSL_NEGOTIATE_CERT festgelegt.
- Fügt Lese- und Schreibzugriff auf das Ereignisablaufverfolgungsverzeichnis hinzu.
-
Updates den Sicherheitsdeskriptor des Containers "Gelöschte Objekte" in Active Directory, um den Zugriff durch den Computer und/oder den Anwendungspool zu ermöglichen. Dadurch kann CES die Zertifizierungsstelle benachrichtigen, wenn ein relevantes Active Directory-Objekt gelöscht wird. Wenn sich Active Directory auf einem Domänencontroller befindet, können sowohl der Computer als auch der Anwendungspool auf den Container "Gelöschte Objekte" zugreifen. Wenn Sich Active Directory nicht auf einem Domänencontroller befindet, ist nur der Computer zugriff gestattet.
Hinweis Wenn der Zugriff auf den Container Deleted Objects fehlschlägt, gibt die Methode ein Fehler-HRESULT zurück und legt die ErrorString-Eigenschaft auf "Setup kann dem Zertifikatregistrierungsrichtlinien-Webdienstkonto die Berechtigung Liste für den Container ""Gelöschte Objekte" nicht erteilen. Der Webdienst kann das Löschen von Active Directory-Objekten wie z. B. Zertifikatvorlagen nicht erkennen. Zum Abschließen des Setups muss ein Mitglied der Gruppe "Domänenadministratoren" der Zertifikatregistrierungsrichtlinien-Webdienstkontoliste die Berechtigung für den Container "Gelöschte Objekte" in Active Directory Domain Services (AD DS) manuell erteilen."
Anforderungen
| Anforderung | Wert |
|---|---|
| Unterstützte Mindestversion (Client) | Windows 7 [nur Desktop-Apps] |
| Unterstützte Mindestversion (Server) | Windows Server 2008 R2 [nur Desktop-Apps] |
| Zielplattform | Windows |
| Kopfzeile | casetup.h |
| DLL | Certocm.dll |
Weitere Informationen
Feedback
Bald verfügbar: Im Laufe des Jahres 2024 werden wir GitHub-Issues stufenweise als Feedbackmechanismus für Inhalte abbauen und durch ein neues Feedbacksystem ersetzen. Weitere Informationen finden Sie unter https://aka.ms/ContentUserFeedback.
Feedback senden und anzeigen für