Konfigurieren der CDP- und AIA-Erweiterungen für Zertifizierungsstelle 1Configure the CDP and AIA Extensions on CA1

Gilt für: Windows Server (halbjährlicher Kanal), Windows Server 2016Applies to: Windows Server (Semi-Annual Channel), Windows Server 2016

Mit diesem Verfahren können Sie die Zertifikat Sperr Listen-Verteilungs Punkte (CRL) und die AIA-Einstellungen (Authority Information Access) auf CA1 konfigurieren.You can use this procedure to configure the Certificate Revocation List (CRL) Distribution Point (CDP) and the Authority Information Access (AIA) settings on CA1.

Um dieses Verfahren auszuführen, müssen Sie Mitglied der Gruppe "Domänen-Admins" sein.To perform this procedure, you must be a member of Domain Admins.

So konfigurieren Sie die CDP-und AIA-Erweiterungen auf CA1To configure the CDP and AIA extensions on CA1

  1. Klicken Sie in Server-Manager auf Extras und dann auf Zertifizierungsstelle.In Server Manager, click Tools and then click Certification Authority.

  2. Klicken Sie in der Konsolen Struktur der Zertifizierungsstelle mit der rechten Maustaste auf Corp-CA1-ca, und klicken Sie dann auf Eigenschaften.In the Certification Authority console tree, right-click corp-CA1-CA, and then click Properties.

    Hinweis

    Der Name der Zertifizierungsstelle ist anders, wenn Sie den Computer nicht benennen CA1 und der Domänen Name unterscheidet sich von dem in diesem Beispiel.The name of your CA is different if you did not name the computer CA1 and your domain name is different than the one in this example. Der Name der Zertifizierungsstelle hat das Format Domäne - CAComputername-ca.The CA name is in the format domain-CAComputerName-CA.

  3. Klicken Sie auf die Registerkarte Erweiterungen . Stellen Sie sicher, dass die Option Erweiterung auswählen auf CRL-Verteilungs Punkt (CDP) festgelegt ist, und führen Sie in den Speicher Orten, von denen Benutzer eine Zertifikat Sperr Liste abrufen können, folgende Schritte aus:Click the Extensions tab. Ensure that Select extension is set to CRL Distribution Point (CDP), and in the Specify locations from which users can obtain a certificate revocation list (CRL), do the following:

    1. Wählen Sie den Eintrag aus file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl , und klicken Sie dann auf Entfernen.Select the entry file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl, and then click Remove. Klicken Sie unter Entfernen bestätigen auf Ja.In Confirm removal, click Yes.

    2. Wählen Sie den Eintrag aus http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl , und klicken Sie dann auf Entfernen.Select the entry http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl, and then click Remove. Klicken Sie unter Entfernen bestätigen auf Ja.In Confirm removal, click Yes.

    3. Wählen Sie den Eintrag aus, der mit dem Pfad beginnt ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName> , und klicken Sie dann auf Entfernen.Select the entry that starts with the path ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>, and then click Remove. Klicken Sie unter Entfernen bestätigen auf Ja.In Confirm removal, click Yes.

  4. Klicken Sie in Speicher Orte angeben, von denen Benutzer eine Zertifikat Sperr Liste abrufen können (CRL) auf Hinzufügen.In Specify locations from which users can obtain a certificate revocation list (CRL), click Add. Das Dialogfeld Speicherort hinzufügen wird geöffnet.The Add Location dialog box opens.

  5. Geben Sie unter Speicherort hinzufügen in Speicherort ein http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl , und klicken Sie dann auf OK.In Add Location, in Location, type http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl, and then click OK. Dadurch wird das Dialogfeld Eigenschaften der Zertifizierungsstelle zurückgegeben.This returns you to the CA properties dialog box.

  6. Aktivieren Sie auf der Registerkarte Erweiterungen die folgenden Kontrollkästchen:On the Extensions tab, select the following check boxes:

    • In CRLs einschließen. Clients verwenden diese, um die Delta-CRL-Speicherorte zu suchen.Include in CRLs. Clients use this to find the Delta CRL locations

    • In die CDP-Erweiterung der ausgestellten Zertifikate einbeziehenInclude in the CDP extension of issued certificates

  7. Klicken Sie in Speicher Orte angeben, von denen Benutzer eine Zertifikat Sperr Liste abrufen können (CRL) auf Hinzufügen.In Specify locations from which users can obtain a certificate revocation list (CRL), click Add. Das Dialogfeld Speicherort hinzufügen wird geöffnet.The Add Location dialog box opens.

  8. Geben Sie unter Speicherort hinzufügen in Speicherort ein file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl , und klicken Sie dann auf OK.In Add Location, in Location, type file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl, and then click OK. Dadurch wird das Dialogfeld Eigenschaften der Zertifizierungsstelle zurückgegeben.This returns you to the CA properties dialog box.

  9. Aktivieren Sie auf der Registerkarte Erweiterungen die folgenden Kontrollkästchen:On the Extensions tab, select the following check boxes:

    • Veröffentlichen von CRLs an diesem OrtPublish CRLs to this location

    • Delta-CRLs an diesem Speicherort veröffentlichenPublish Delta CRLs to this location

  10. Ändern Sie SELECT Extension to Authority Information Access (AIA), und führen Sie in den Speicher Orten, von denen Benutzer eine Zertifikat Sperr Liste abrufen können, die folgenden Schritte aus:Change Select extension to Authority Information Access (AIA), and in the Specify locations from which users can obtain a certificate revocation list (CRL), do the following:

    1. Wählen Sie den Eintrag aus, der mit dem Pfad beginnt ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services , und klicken Sie dann auf Entfernen.Select the entry that starts with the path ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services, and then click Remove. Klicken Sie unter Entfernen bestätigen auf Ja.In Confirm removal, click Yes.

    2. Wählen Sie den Eintrag aus http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt , und klicken Sie dann auf Entfernen.Select the entry http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt, and then click Remove. Klicken Sie unter Entfernen bestätigen auf Ja.In Confirm removal, click Yes.

    3. Wählen Sie den Eintrag aus file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt , und klicken Sie dann auf Entfernen.Select the entry file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt, and then click Remove. Klicken Sie unter Entfernen bestätigen auf Ja.In Confirm removal, click Yes.

  11. Klicken Sie in Speicher Orte angeben, von denen Benutzer das Zertifikat für diese Zertifizierungsstelle abrufen können auf Hinzufügen.In Specify locations from which users can obtain the certificate for this CA, click Add. Das Dialogfeld Speicherort hinzufügen wird geöffnet.The Add Location dialog box opens.

  12. Geben Sie unter Speicherort hinzufügen in Speicherort ein http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt , und klicken Sie dann auf OK.In Add Location, in Location, type http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt, and then click OK. Dadurch wird das Dialogfeld Eigenschaften der Zertifizierungsstelle zurückgegeben.This returns you to the CA properties dialog box.

  13. Wählen Sie auf der Registerkarte Erweiterungen in den AIA der ausgestellten Zertifikate einbeziehen aus.On the Extensions tab, select Include in the AIA of issued certificates.

  14. Wenn Sie zum Neustart Active Directory Zertifikat Dienste aufgefordert werden, klicken Sie auf Nein.When prompted to restart Active Directory Certificate Services, click No. Der Dienst wird zu einem späteren Zeitpunkt neu gestartet.You will restart the service later.