我正在与一名支持人员合作，该支持人员应该能够在他维护的Web服务器上安装SSL证书。他通过域安全组对服务器具有本地管理员权限。他还具有运行Windows 2003 Server证书颁发机构的内部CA的权限："请求证书"和"发布和管理证书"。

他正在使用的服务器正在运行Windows 2000 SP4 / IIS5. 当他尝试创建在线服务器证书时，IIS向导以"安装失败。访问被拒绝"结束。事件查看器无法正常运行，因此我无法在其中找到任何详细信息。我怀疑许可问题是本地的，而不是CA的问题。

我的帐户是域管理员帐户，我知道我可以执行此操作，但是我需要为非域管理员的其他用户进行此操作。

他为什么不能执行此操作的任何想法？

解决方案

回答

几个月前，当我为客户设置证书时，我遇到了完全相同的问题。

管理员需要一个MachineKeys文件夹权限-

\Documents and Settings\All Users\Application Data\Microsoft\Crypto\RSA\MachineKeys

授予管理员(或者管理员组)对该目录的完全控制权限。我认为我们不必重新启动IIS，但这绝对不会给我们带来任何伤害。

我不知道为什么Admin无法默认控制它。
更改后，"证书创建向导"将成功生成证书请求。

我认为甚至在某处甚至还有Microsoft KB文章。

编辑：这是知识库文章：http://support.microsoft.com/kb/908572

-乔恩