Метод ICertificateEnrollmentPolicyServerSetup::Install (casetup.h)
Метод Install устанавливает веб-службу политики регистрации сертификатов (CEP), настроенную объектом ICertificateEnrollmentPolicyServerSetup .
Синтаксис
HRESULT Install();
Возвращаемое значение
| Код возврата | Описание |
|---|---|
|
Имя, указанное для каталога трассировки событий или каталога приложения, уже существовало, но представляло файл, а не каталог. |
|
Приложение CEP уже существует. Дополнительные сведения см. в подразделе "Примечания". |
|
Объект ICertificateEnrollmentPolicyServerSetup не инициализирован.
Для свойства ErrorString задано значение "Объект установки не инициализирован. Инициализируйте объект установки с помощью метода InitializeInstallDefaults". |
Комментарии
Эта функция выполняет следующие действия:
- Инициализирует инструментарий управления Windows (WMI).
-
Проверяет конфигурацию CEP, проверяя, что приложение с тем же именем еще не существует. Имя приложения является частью URL-адреса CEP, где URL-адрес имеет форму "https:// computerDNSname/ADPolicyProvider_cep_AuthenticationType/service.svc/cep". Имя приложения состоит из "ADPolicyProvider_cep_AuthenticationType", где AuthenticationType может быть одним из следующих:
- Kerberos
- usernamepassword
- сертификат
Примечание Если существует приложение с тем же именем, свойству ErrorString присваивается значение "Программе установки не удалось добавить эту службу роли, так как она уже существует на веб-сайте по умолчанию. Удалите существующую службу роли или выберите другой центр сертификации (ЦС) или тип проверки подлинности". -
Создает каталог приложения %windir%\systemdata\cep\ADPolicyProvider_cep_AuthenticationType . Примечание Этот метод не возвращает ошибку, если указанное имя уже существует как каталог, но если указанное имя существует в виде файла или произошла другая ошибка, метод возвращает ошибку HRESULT и задает свойству ErrorString значение "Не удалось создать каталог %1".
- Создает каталог трассировки событий %windir%\systemdata\cep\ADPolicyProvider_cep_AuthenticationType\Traces.
- Создает файлы Web.config и Service.svc и записывает их в каталог приложения. Если файлы уже существуют, они перезаписываются.
- Создает пул приложений IIS. По умолчанию пул выполняется под учетной записью ApplicationPoolIdentity .
- Создает приложение на веб-сайте по умолчанию.
- Создает безопасную привязку (https) к порту 443 и задает хэш сертификата, если он был указан во время настройки путем вызова метода SetProperty .
- Устанавливает анонимную проверку подлинности IIS, если вы вызвали SetProperty и указали X509AuthCertificate или X509AuthUsername в аргументе pPropertyValue . Устанавливает проверку подлинности в Windows, если вы вызвали SetProperty и указали X509AuthKerberos.
- Задает флаги SSL в зависимости от типа проверки подлинности, выбранной во время настройки. Флагами по умолчанию для всех типов проверки подлинности являются SSL (требуется безопасный канал) и SSL_128 (128-битное шифрование). Кроме того, если указать X509AuthCertificate, будут установлены флаги SSL_REQUIRE_CERT и SSL_NEGOTIATE_CERT.
- Добавляет доступ на чтение и запись в каталог трассировки событий.
-
Обновления дескриптор безопасности контейнера "Удаленные объекты" в Active Directory, чтобы разрешить доступ для компьютера и (или) пула приложений. Это позволяет службе CEP уведомлять центр сертификации при удалении соответствующего объекта Active Directory. Если на контроллере домена установлена служба Active Directory, доступ к контейнеру "Удаленные объекты" предоставляется как компьютеру, так и пулу приложений. Если служба Active Directory не установлена на контроллере домена, доступ разрешен только к компьютеру.
Примечание Если доступ к контейнеру Удаленные объекты завершается сбоем, метод возвращает ошибку HRESULT и задает для свойства ErrorString значение "Программа установки не может предоставить учетной записи веб-службы политики регистрации сертификатов разрешение на список учетной записи веб-службы для контейнера "Удаленные объекты". Веб-служба не сможет обнаружить удаление объектов Active Directory, таких как шаблоны сертификатов. Чтобы завершить настройку, член группы "Администраторы домена" должен вручную предоставить учетной записи веб-службы политики регистрации сертификатов разрешение на список для контейнера "Удаленные объекты" в доменные службы Active Directory (AD DS)".
Требования
| Требование | Значение |
|---|---|
| Минимальная версия клиента | Windows 7 [только классические приложения] |
| Минимальная версия сервера | Windows Server 2008 R2 [только классические приложения] |
| Целевая платформа | Windows |
| Header | casetup.h |
| DLL | Certocm.dll |
См. также раздел
Обратная связь
Ожидается в ближайшее время: в течение 2024 года мы постепенно откажемся от GitHub Issues как механизма обратной связи для контента и заменим его новой системой обратной связи. Дополнительные сведения см. в разделе https://aka.ms/ContentUserFeedback.
Отправить и просмотреть отзыв по