我正在与支持人员合作,他应该能够在他维护的Web服务器上安装SSL证书。他通过域安全组拥有服务器的本地管理员权限。他还拥有运行Windows 2003 Server证书颁发机构的内部CA的权限:“请求证书”和“颁发和管理证书”。
他正在使用的服务器正在运行Windows 2000 SP4 / IIS 5.当他尝试创建在线服务器证书时,IIS向导以“无法安装。拒绝访问”结束。事件查看器工作不正常,所以我找不到任何细节。我怀疑权限问题是本地的,而不是CA.
我的帐户是域管理员帐户,我知道我可以执行此操作,但是我需要让其他人不是域管理员。
为什么他不能执行此操作的任何想法?
答案 0 :(得分:6)
几个月前,当我为客户设置证书时,我遇到了同样的问题。
管理员需要权利的MachineKeys文件夹 -
\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
在此目录中提供管理员(或管理员组)完全控制。我不认为你必须重新启动IIS,但它永远不会伤害。
我不知道为什么Admin不会将其控制为默认值。 更改后,证书创建向导将成功生成证书请求。
我认为某个地方甚至还有一篇关于它的微软知识库文章。
编辑:这是知识库文章:http://support.microsoft.com/kb/908572
-Jon
答案 1 :(得分:0)
如果您要续订证书,那么在从IIS中删除现有(过期)证书之前,您可能导入了新的中间证书(.pb7)。您将收到拒绝访问错误,因为旧证书和新证书都属于同一个域。
因此,当您获得此访问被拒绝错误时,您必须做三件事。