Поделиться через


Метод ICertificateEnrollmentPolicyServerSetup::Install (casetup.h)

Метод Install устанавливает веб-службу политики регистрации сертификатов (CEP), настроенную объектом ICertificateEnrollmentPolicyServerSetup .

Синтаксис

HRESULT Install();

Возвращаемое значение

Код возврата Описание
E_UNEXPECTED
Имя, указанное для каталога трассировки событий или каталога приложения, уже существовало, но представляло файл, а не каталог.
HRESULT_FROM_WIN32(ERROR_ALREADY_EXISTS)
Приложение CEP уже существует. Дополнительные сведения см. в подразделе "Примечания".
HRESULT_FROM_WIN32(ERROR_INVALID_STATE)
Объект ICertificateEnrollmentPolicyServerSetup не инициализирован.

Для свойства ErrorString задано значение "Объект установки не инициализирован. Инициализируйте объект установки с помощью метода InitializeInstallDefaults".

Комментарии

Эта функция выполняет следующие действия:

  • Инициализирует инструментарий управления Windows (WMI).
  • Проверяет конфигурацию CEP, проверяя, что приложение с тем же именем еще не существует. Имя приложения является частью URL-адреса CEP, где URL-адрес имеет форму "https:// computerDNSname/ADPolicyProvider_cep_AuthenticationType/service.svc/cep". Имя приложения состоит из "ADPolicyProvider_cep_AuthenticationType", где AuthenticationType может быть одним из следующих:
    • Kerberos
    • usernamepassword
    • сертификат
    Примечание Если существует приложение с тем же именем, свойству ErrorString присваивается значение "Программе установки не удалось добавить эту службу роли, так как она уже существует на веб-сайте по умолчанию. Удалите существующую службу роли или выберите другой центр сертификации (ЦС) или тип проверки подлинности".
     
  • Создает каталог приложения %windir%\systemdata\cep\ADPolicyProvider_cep_AuthenticationType .
    Примечание Этот метод не возвращает ошибку, если указанное имя уже существует как каталог, но если указанное имя существует в виде файла или произошла другая ошибка, метод возвращает ошибку HRESULT и задает свойству ErrorString значение "Не удалось создать каталог %1".
     
  • Создает каталог трассировки событий %windir%\systemdata\cep\ADPolicyProvider_cep_AuthenticationType\Traces.
  • Создает файлы Web.config и Service.svc и записывает их в каталог приложения. Если файлы уже существуют, они перезаписываются.
  • Создает пул приложений IIS. По умолчанию пул выполняется под учетной записью ApplicationPoolIdentity .
  • Создает приложение на веб-сайте по умолчанию.
  • Создает безопасную привязку (https) к порту 443 и задает хэш сертификата, если он был указан во время настройки путем вызова метода SetProperty .
  • Устанавливает анонимную проверку подлинности IIS, если вы вызвали SetProperty и указали X509AuthCertificate или X509AuthUsername в аргументе pPropertyValue . Устанавливает проверку подлинности в Windows, если вы вызвали SetProperty и указали X509AuthKerberos.
  • Задает флаги SSL в зависимости от типа проверки подлинности, выбранной во время настройки. Флагами по умолчанию для всех типов проверки подлинности являются SSL (требуется безопасный канал) и SSL_128 (128-битное шифрование). Кроме того, если указать X509AuthCertificate, будут установлены флаги SSL_REQUIRE_CERT и SSL_NEGOTIATE_CERT.
  • Добавляет доступ на чтение и запись в каталог трассировки событий.
  • Обновления дескриптор безопасности контейнера "Удаленные объекты" в Active Directory, чтобы разрешить доступ для компьютера и (или) пула приложений. Это позволяет службе CEP уведомлять центр сертификации при удалении соответствующего объекта Active Directory. Если на контроллере домена установлена служба Active Directory, доступ к контейнеру "Удаленные объекты" предоставляется как компьютеру, так и пулу приложений. Если служба Active Directory не установлена на контроллере домена, доступ разрешен только к компьютеру.
    Примечание Если доступ к контейнеру Удаленные объекты завершается сбоем, метод возвращает ошибку HRESULT и задает для свойства ErrorString значение "Программа установки не может предоставить учетной записи веб-службы политики регистрации сертификатов разрешение на список учетной записи веб-службы для контейнера "Удаленные объекты". Веб-служба не сможет обнаружить удаление объектов Active Directory, таких как шаблоны сертификатов. Чтобы завершить настройку, член группы "Администраторы домена" должен вручную предоставить учетной записи веб-службы политики регистрации сертификатов разрешение на список для контейнера "Удаленные объекты" в доменные службы Active Directory (AD DS)".
     

Требования

Требование Значение
Минимальная версия клиента Windows 7 [только классические приложения]
Минимальная версия сервера Windows Server 2008 R2 [только классические приложения]
Целевая платформа Windows
Header casetup.h
DLL Certocm.dll

См. также раздел

ICertificateEnrollmentPolicyServerSetup

SetProperty