ICertificateEnrollmentPolicyServerSetup::Install-Methode (casetup.h)
Die Install-Methode installiert den vom ICertificateEnrollmentPolicyServerSetup-Objekt konfigurierten CEP-Webdienst (Certificate Enrollment Policy).
Syntax
HRESULT Install();
Rückgabewert
Rückgabecode | Beschreibung |
---|---|
|
Der für das Ereignisablaufverfolgungsverzeichnis oder das Anwendungsverzeichnis angegebene Name war bereits vorhanden, stellte aber eine Datei anstelle eines Verzeichnisses dar. |
|
Die CEP-Anwendung ist bereits vorhanden. Weitere Informationen finden Sie in den Hinweisen. |
|
Das ICertificateEnrollmentPolicyServerSetup-Objekt wurde nicht initialisiert.
Der ErrorString-Eigenschaftswert ist auf "Das Setupobjekt wurde nicht initialisiert. Initialisieren Sie das Setupobjekt mit der InitializeInstallDefaults-Methode." |
Hinweise
Diese Funktion führt die folgenden Aktionen aus:
- Initialisiert die Windows-Verwaltungsinstrumentation (WMI).
-
Überprüft die CEP-Konfiguration, indem überprüft wird, ob noch keine Anwendung mit demselben Namen vorhanden ist. Der Anwendungsname ist Teil der CEP-URL, wobei die URL das Format "https:// computerDNSname/ADPolicyProvider_cep_AuthenticationType/service.svc/cep" hat. Der Anwendungsname besteht aus "ADPolicyProvider_cep_AuthenticationType", wobei AuthenticationType eine der folgenden Sein kann:
- Kerberos
- usernamepassword
- Zertifikat
Hinweis Wenn eine Anwendung mit demselben Namen vorhanden ist, ist die ErrorString-Eigenschaft auf "Setup konnte diesen Rollendienst nicht hinzufügen, da er bereits auf der Standardwebsite vorhanden ist. Entfernen Sie den vorhandenen Rollendienst, oder wählen Sie eine andere Zertifizierungsstelle oder einen anderen Authentifizierungstyp aus." -
Erstellt das Anwendungsverzeichnis %windir%\systemdata\cep\ADPolicyProvider_cep_AuthenticationType . Hinweis Diese Methode gibt keinen Fehler zurück, wenn der angegebene Name bereits als Verzeichnis vorhanden ist, aber wenn der angegebene Name als Datei vorhanden ist oder ein anderer Fehler aufgetreten ist, gibt die Methode einen Fehler HRESULT zurück und legt die ErrorString-Eigenschaft auf "Fehler beim Erstellen des Verzeichnisses %1" fest.
- Erstellt das Ereignisablaufverfolgungsverzeichnis %windir%\systemdata\cep\ADPolicyProvider_cep_AuthenticationType\Traces.
- Erstellt die Dateien Web.config und Service.svc und schreibt sie in das Anwendungsverzeichnis. Wenn die Dateien bereits vorhanden sind, werden sie überschrieben.
- Erstellt einen IIS-Anwendungspool. Standardmäßig wird der Pool unter dem ApplicationPoolIdentity-Konto ausgeführt.
- Erstellt die Anwendung auf der Standardwebsite.
- Erstellt eine sichere (HTTPS)-Bindung an Port 443 und legt den Zertifikathash fest, wenn während der Konfiguration durch Aufrufen der SetProperty-Methode angegeben wurde.
- Legt die IIS-Authentifizierung auf anonym fest, wenn Sie SetProperty aufgerufen und X509AuthCertificate oder X509AuthUsername im pPropertyValue-Argument angegeben haben . Legt die Authentifizierung auf Windows fest, wenn Sie SetProperty aufgerufen und X509AuthKerberos angegeben haben.
- Legt SSL-Flags in Abhängigkeit vom Typ der Authentifizierung fest, die während der Konfiguration ausgewählt wurde. Die Standardflags für alle Authentifizierungstypen sind SSL (erfordert einen sicheren Kanal) und SSL_128 (128-Bit-Verschlüsselung). Wenn Sie X509AuthCertificate angeben, werden außerdem die Flags SSL_REQUIRE_CERT und SSL_NEGOTIATE_CERT festgelegt.
- Fügt Lese- und Schreibzugriff auf das Verzeichnis der Ereignisablaufverfolgung hinzu.
-
Updates die Sicherheitsbeschreibung des Containers "Gelöschte Objekte" in Active Directory, um den Zugriff durch den Computer und/oder den Anwendungspool zuzulassen. Dadurch kann der CEP-Dienst die Zertifizierungsstelle benachrichtigen, wenn ein relevantes Active Directory-Objekt gelöscht wird. Wenn Active Directory auf einem Domänencontroller installiert ist, können sowohl der Computer als auch der Anwendungspool auf den Container Deleted Objects zugreifen. Wenn Active Directory nicht auf einem Domänencontroller installiert ist, ist nur dem Computer der Zugriff gestattet.
Hinweis Wenn der Zugriff auf den Container Deleted Objects fehlschlägt, gibt die Methode ein Fehler-HRESULT zurück und legt die ErrorString-Eigenschaft auf "Setup kann der Liste des Zertifikatregistrierungsrichtlinien-Webdienstkontos keine Berechtigung für den Container "Gelöschte Objekte" erteilen. Der Webdienst kann das Löschen von Active Directory-Objekten wie Zertifikatvorlagen nicht erkennen. Um das Setup abzuschließen, muss ein Mitglied der Gruppe Domänenadministratoren dem Zertifikatregistrierungsrichtlinien-Webdienstkonto liste die Berechtigung "Gelöschte Objekte" in Active Directory Domain Services (AD DS) manuell erteilen.
Anforderungen
Anforderung | Wert |
---|---|
Unterstützte Mindestversion (Client) | Windows 7 [nur Desktop-Apps] |
Unterstützte Mindestversion (Server) | Windows Server 2008 R2 [nur Desktop-Apps] |
Zielplattform | Windows |
Kopfzeile | casetup.h |
DLL | Certocm.dll |