我正在与一位支持人员合作,他应该能够在他维护的 Web 服务器上安装 SSL 证书。他通过域安全组拥有服务器的本地管理员权限。他还拥有运行 Windows 2003 Server 证书颁发机构的内部 CA 的权限:“请求证书”和“颁发和管理证书”。
他使用的服务器正在运行 Windows 2000 SP4 / IIS 5。当他尝试创建在线服务器证书时,IIS 向导以“安装失败。访问被拒绝。”结束。事件查看器无法正常工作,所以我在那里找不到任何详细信息。我怀疑权限问题是本地的,而不是 CA。
我的帐户是域管理员帐户,我知道我能够执行此操作,但是我需要为非域管理员的其他人进行此操作。
任何想法为什么他不能执行这个操作?
【问题讨论】:
标签: ssl permissions iis-5 windows-server-2000
几个月前,当我为客户设置证书时,我遇到了同样的问题。
有一个管理员需要权限的 MachineKeys 文件夹 -
\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys
授予管理员(或管理员组)完全控制此目录。我认为您不必重新启动 IIS,但它永远不会受到伤害。
我不知道为什么管理员默认不控制它。 更改此设置后,证书创建向导将成功生成证书请求。
我认为某处甚至有一篇关于它的 Microsoft 知识库文章。
编辑:这是知识库文章:http://support.microsoft.com/kb/908572
-乔恩
【讨论】:
如果您要续订证书,则可能在从 IIS 中删除现有(过期)证书之前导入了新的中间证书 (.pb7)。您会收到拒绝访问错误,因为旧证书和新证书都用于同一个域。
因此,当您收到此访问被拒绝错误时,您必须做三件事。
【讨论】: