Partager via


ICertificateEnrollmentPolicyServerSetup ::Install, méthode (casetup.h)

La méthode Install installe le service web CEP (Certificate Enrollment Policy) configuré par l’objet ICertificateEnrollmentPolicyServerSetup .

Syntaxe

HRESULT Install();

Valeur de retour

Code de retour Description
E_UNEXPECTED
Le nom spécifié pour le répertoire de suivi des événements ou le répertoire d’application existait déjà, mais il représentait un fichier plutôt qu’un répertoire.
HRESULT_FROM_WIN32(ERROR_ALREADY_EXISTS)
L’application CEP existe déjà. Pour plus d'informations, consultez la section Notes.
HRESULT_FROM_WIN32(ERROR_INVALID_STATE)
L’objet ICertificateEnrollmentPolicyServerSetup n’a pas été initialisé.

La valeur de la propriété ErrorString est définie sur « L’objet setup n’a pas été initialisé. Initialisez l’objet setup avec la méthode InitializeInstallDefaults. »

Remarques

Cette fonction effectue les actions suivantes :

  • Initialise Windows Management Instrumentation (WMI).
  • Valide la configuration DUP en vérifiant qu’une application portant le même nom n’existe pas déjà. Le nom de l’application fait partie de l’URL CEP où l’URL se présente sous la forme « https:// computerDNSname/ADPolicyProvider_cep_AuthenticationType/service.svc/cep ». Le nom de l’application se compose de « ADPolicyProvider_cep_AuthenticationType », où AuthenticationType peut être l’un des éléments suivants :
    • Kerberos
    • usernamepassword
    • certificat
    Note Si une application portant le même nom existe, la propriété ErrorString est définie sur « Le programme d’installation n’a pas pu ajouter ce service de rôle, car il existe déjà dans le site web par défaut. Supprimez le service de rôle existant ou sélectionnez une autorité de certification ou un autre type d’authentification. »
     
  • Crée le répertoire d’application %windir%\systemdata\cep\ADPolicyProvider_cep_AuthenticationType .
    Note Cette méthode ne retourne pas d’erreur si le nom spécifié existe déjà en tant que répertoire, mais si le nom spécifié existe en tant que fichier ou si une autre erreur s’est produite, la méthode retourne un HRESULT d’échec et définit la propriété ErrorString sur « Échec de la création du répertoire %1 ».
     
  • Crée le répertoire de suivi des événements %windir%\systemdata\cep\ADPolicyProvider_cep_AuthenticationType\Traces.
  • Crée les fichiers Web.config et Service.svc et les écrit dans le répertoire de l’application. Si les fichiers existent déjà, ils sont remplacés.
  • Crée un pool d’applications IIS. Par défaut, le pool s’exécute sous le compte ApplicationPoolIdentity .
  • Crée l’application dans le site web par défaut.
  • Crée une liaison sécurisée (https) au port 443 et définit le hachage de certificat s’il en a été spécifié lors de la configuration en appelant la méthode SetProperty .
  • Définit l’authentification IIS sur anonyme si vous avez appelé SetProperty et spécifié X509AuthCertificate ou X509AuthUsername dans l’argument pPropertyValue . Définit l’authentification sur Windows si vous avez appelé SetProperty et spécifié X509AuthKerberos.
  • Définit les indicateurs SSL en fonction du type d’authentification choisi lors de la configuration. Les indicateurs par défaut pour tous les types d’authentification sont SSL (canal sécurisé requis) et SSL_128 (chiffrement 128 bits). En outre, si vous spécifiez X509AuthCertificate, les indicateurs SSL_REQUIRE_CERT et SSL_NEGOTIATE_CERT sont définis.
  • Ajoute un accès en lecture et en écriture au répertoire de suivi des événements.
  • Mises à jour le descripteur de sécurité du conteneur Objets supprimés dans Active Directory pour autoriser l’accès par l’ordinateur et/ou le pool d’applications. Cela permet au service CEP d’avertir l’autorité de certification lorsqu’un objet Active Directory approprié est supprimé. Si Active Directory est installé sur un contrôleur de domaine, l’ordinateur et le pool d’applications sont tous deux autorisés à accéder au conteneur Objets supprimés. Si Active Directory n’est pas installé sur un contrôleur de domaine, seul l’ordinateur est autorisé à accéder.
    Note Si l’accès au conteneur d’objets supprimés échoue, la méthode retourne une erreur HRESULT et définit la propriété ErrorString sur « Le programme d’installation ne peut pas accorder l’autorisation Liste du compte de service web de stratégie d’inscription de certificat sur le conteneur « Objets supprimés ». Le service web ne peut pas détecter la suppression d’objets Active Directory tels que les modèles de certificat. Pour terminer l’installation, un membre du groupe Administrateurs de domaine doit accorder manuellement l’autorisation liste du compte de service Web de stratégie d’inscription de certificat sur le conteneur « Objets supprimés » dans services de domaine Active Directory (AD DS). »
     

Configuration requise

Condition requise Valeur
Client minimal pris en charge Windows 7 [applications de bureau uniquement]
Serveur minimal pris en charge Windows Server 2008 R2 [applications de bureau uniquement]
Plateforme cible Windows
En-tête casetup.h
DLL Certocm.dll

Voir aussi

ICertificateEnrollmentPolicyServerSetup

setProperty