Konfigurieren der CDP- und AIA-Erweiterungen für Zertifizierungsstelle 1

  • Artikel

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Mit diesem Verfahren können Sie den Verteilungspunkt für die Zertifikatssperrliste (CDP) und die Einstellungen für den Zugriff auf Zertifizierungsstelleninfos (Authority Information Access, AIA) für CA1 konfigurieren.

Zur Durchführung dieses Verfahrens müssen Sie ein Mitglied der Gruppe „Domänen-Admins“ sein.

So konfigurieren Sie die CDP- und AIA-Erweiterungen für CA1

  1. Klicken Sie in Server-Manager auf Extras und dann auf Zertifizierungsstelle.

  2. Klicken Sie in der Konsolenstruktur der Zertifizierungsstelle mit der rechten Maustaste auf corp-CA1-CA und dann auf Eigenschaften.

    Hinweis

    Der Name Ihrer Zertifizierungsstelle ist ein anderer, wenn Sie den Computer nicht CA1 genannt haben und Ihr Domänenname sich von dem in diesem Beispiel unterscheidet. Der Name der Zertifizierungsstelle verwendet das Format Domäne-CAComputerName-CA.

  3. Klicken Sie auf die Registerkarte Erweiterungen. Vergewissern Sie sich, dass Erweiterung auswählen auf Sperrlisten-Verteilungspunkt festgelegt ist, und gehen Sie unter Geben Sie Standorte an, von denen Benutzer eine Zertifikatssperrliste erhalten können folgendermaßen vor:

    1. Wählen Sie den Eintrag file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl aus, und klicken Sie auf Entfernen. Klicken Sie in Entfernen bestätigen auf Ja.

    2. Wählen Sie den Eintrag http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl aus, und klicken Sie auf Entfernen. Klicken Sie in Entfernen bestätigen auf Ja.

    3. Wählen Sie den Eintrag aus, der mit dem Pfad ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName> beginnt, und klicken Sie dann auf Entfernen. Klicken Sie in Entfernen bestätigen auf Ja.

  4. Klicken Sie unter Geben Sie Standorte an, von denen Benutzer eine Zertifikatssperrliste erhalten können auf Hinzufügen. Das Dialogfeld Standort hinzufügen wird geöffnet.

  5. Geben Sie in Standort hinzufügen unter Standort den Wert http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ein, und klicken Sie dann auf OK. Dadurch kehren Sie zum Eigenschaftendialogfeld für die Zertifizierungsstelle zurück.

  6. Aktivieren Sie auf der Registerkarte Erweiterungen die folgenden Kontrollkästchen:

    • In CRLs einbeziehen. (Clients suchen hiermit nach den Speicherorten von Deltasperrlisten)

    • In CDP-Erweiterung des ausgestellten Zertifikats einbeziehen

  7. Klicken Sie unter Geben Sie Standorte an, von denen Benutzer eine Zertifikatssperrliste erhalten können auf Hinzufügen. Das Dialogfeld Standort hinzufügen wird geöffnet.

  8. Geben Sie in Standort hinzufügen unter Standort den Wert file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ein, und klicken Sie dann auf OK. Dadurch kehren Sie zum Eigenschaftendialogfeld für die Zertifizierungsstelle zurück.

  9. Aktivieren Sie auf der Registerkarte Erweiterungen die folgenden Kontrollkästchen:

    • Veröffentlichen von CRLs an diesem Ort

    • Deltasperrlisten an diesem Ort veröffentlichen

  10. Ändern Sie Erweiterung auswählen in Zugriff auf Zertifizierungsstelleninfos, und gehen Sie unter Geben Sie Standorte an, von denen Benutzer eine Zertifikatssperrliste erhalten können folgendermaßen vor:

    1. Wählen Sie den Eintrag aus, der mit dem Pfad ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services beginnt, und klicken Sie dann auf Entfernen. Klicken Sie in Entfernen bestätigen auf Ja.

    2. Wählen Sie den Eintrag http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt aus, und klicken Sie auf Entfernen. Klicken Sie in Entfernen bestätigen auf Ja.

    3. Wählen Sie den Eintrag file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt aus, und klicken Sie auf Entfernen. Klicken Sie in Entfernen bestätigen auf Ja.

  11. Klicken Sie in Geben Sie Standorte an, von denen Benutzer ein Zertifikat dieser Zertifizierungsstelle erhalten können auf Hinzufügen. Das Dialogfeld Standort hinzufügen wird geöffnet.

  12. Geben Sie in Standort hinzufügen unter Standort den Wert http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt ein, und klicken Sie dann auf OK. Dadurch kehren Sie zum Eigenschaftendialogfeld für die Zertifizierungsstelle zurück.

  13. Wählen Sie auf der Registerkarte Erweiterungen die Option In AIA-Erweiterung des ausgestellten Zertifikats einbeziehen aus.

  14. Klicken Sie auf Nein, wenn Sie zum Neustart der Active Directory-Zertifikatdienste aufgefordert werden. Sie starten den Dienst später neu.