ICertificateEnrollmentServerSetup ::Install, méthode (casetup.h)
La méthode Install installe le service web d’inscription de certificat (CES) configuré par l’objet ICertificateEnrollmentServerSetup .
Syntaxe
HRESULT Install();
Valeur de retour
| Code de retour | Description |
|---|---|
|
Le nom spécifié pour le répertoire de suivi d’événements ou le répertoire d’application existait déjà, mais il représentait un fichier plutôt qu’un répertoire. |
|
L’application CES existe déjà. Pour plus d’informations, consultez Remarques |
|
L’objet ICertificateEnrollmentServerSetup n’a pas été initialisé.
La valeur de la propriété ErrorString est définie sur « L’objet setup n’a pas été initialisé. Initialisez l’objet setup avec la méthode InitializeInstallDefaults. » |
Remarques
Cette fonction effectue les actions suivantes :
- Initialise Windows Management Instrumentation (WMI).
-
Valide la configuration ces en vérifiant qu’une application portant le même nom n’existe pas déjà. Le nom de l’application fait partie de l’URL CES où l’URL se présente sous la forme « https:// computerDNSname/SanitizedCAShortName_ces_AuthenticationType/service.svc/ces ». Le nom de l’application se compose de « SanitizedCAShortName_ces_AuthenticationType » où AuthenticationType peut être l’un des éléments suivants :
- Kerberos
- usernamepassword
- certificat
Note Si une application portant le même nom existe, la propriété ErrorString est définie sur « Le programme d’installation n’a pas pu ajouter ce service de rôle, car il existe déjà dans le site web par défaut. Supprimez le service de rôle existant ou sélectionnez un autre type d’autorité de certification ou d’authentification. » -
Crée le répertoire d’application %windir%\systemdata\ces\SanitizedCAShortName_ces_AuthenticationType . Note Cette méthode ne retourne pas d’erreur si le nom spécifié existe déjà en tant que répertoire, mais si le nom spécifié existe en tant que fichier ou si une autre erreur s’est produite, la méthode renvoie un HRESULT d’échec et définit la propriété ErrorString sur « Échec de la création du répertoire %1 ».
- Crée le répertoire de suivi d’événements %windir%\systemdata\ces\SanitizedCAShortName_ces_AuthenticationType\Traces.
- Crée les fichiers Web.config et Service.svc et les écrit dans le répertoire de l’application. Si les fichiers existent déjà, ils sont remplacés.
- Crée un pool d’applications IIS. Par défaut, le pool s’exécute sous le compte ApplicationPoolIdentity . Pour utiliser une autre identité, vous devez la modifier manuellement une fois le rôle CES installé.
- Crée l’application dans le site web par défaut.
- Crée une liaison sécurisée (https) au port 443 et définit le hachage du certificat s’il en a été spécifié lors de la configuration.
- Définit l’authentification IIS sur anonyme si vous avez appelé SetProperty et spécifié X509AuthCertificate ou X509AuthUsername dans l’argument pPropertyValue . Définit l’authentification sur Windows si vous avez appelé SetProperty et spécifié X509AuthKerberos.
- Définit des indicateurs SSL en fonction du type d’authentification choisi lors de la configuration. Les indicateurs par défaut pour tous les types d’authentification sont SSL (canal sécurisé requis) et SSL_128 (chiffrement 128 bits). En outre, si vous spécifiez X509AuthCertificate, les indicateurs SSL_REQUIRE_CERT et SSL_NEGOTIATE_CERT sont définis.
- Ajoute un accès en lecture et en écriture au répertoire de suivi d’événements.
-
Mises à jour le descripteur de sécurité du conteneur Objets supprimés dans Active Directory pour autoriser l’accès par l’ordinateur et/ou le pool d’applications. Cela permet à CES d’avertir l’autorité de certification lorsqu’un objet Active Directory approprié est supprimé. Si Active Directory réside sur un contrôleur de domaine, l’ordinateur et le pool d’applications sont tous deux autorisés à accéder au conteneur Objets supprimés. Si Active Directory ne réside pas sur un contrôleur de domaine, seul l’ordinateur est autorisé à y accéder.
Note Si l’accès au conteneur Objets supprimés échoue, la méthode retourne un HRESULT d’échec et définit la propriété ErrorString sur « Le programme d’installation ne peut pas accorder l’autorisation liste du compte de service web de stratégie d’inscription de certificat sur le conteneur « Objets supprimés ». Le service web ne peut pas détecter la suppression d’objets Active Directory tels que les modèles de certificat. Pour terminer l’installation, un membre du groupe Administrateurs du domaine doit donner manuellement l’autorisation Liste du compte de service web de stratégie d’inscription de certificat sur le conteneur « Objets supprimés » dans services de domaine Active Directory (AD DS). »
Configuration requise
| Condition requise | Valeur |
|---|---|
| Client minimal pris en charge | Windows 7 [applications de bureau uniquement] |
| Serveur minimal pris en charge | Windows Server 2008 R2 [applications de bureau uniquement] |
| Plateforme cible | Windows |
| En-tête | casetup.h |
| DLL | Certocm.dll |
Voir aussi
Commentaires
Bientôt disponible : Tout au long de 2024, nous allons supprimer progressivement GitHub Issues comme mécanisme de commentaires pour le contenu et le remplacer par un nouveau système de commentaires. Pour plus d’informations, consultez https://aka.ms/ContentUserFeedback.
Envoyer et afficher des commentaires pour