Configurer les extensions CDP et AIA sur CA1

  • Article

S’applique à : Windows Server 2022, Windows Server 2019, Windows Server 2016

Vous pouvez utiliser cette procédure pour configurer le point de distribution de la liste de révocation de certificats (CDP) et les paramètres d’accès aux informations d’autorité (AIA) sur CA1.

Pour effectuer cette procédure, vous devez être membre des Administrateurs de domaine.

Pour configurer les extensions CDP et AIA sur CA1

  1. Dans le Gestionnaire de serveur, cliquez sur Outils, puis sur Autorité de certification.

  2. Dans l’arborescence de la console de l’autorité de certification, cliquez avec le bouton droit sur corp-CA1-CA, puis cliquez sur Propriétés.

    Remarque

    Le nom de votre autorité de certification est différent si vous n’avez pas nommé l’ordinateur CA1 et si votre nom de domaine est différent de celui de cet exemple. Le nom de l’autorité de certification est au format domaine-NomOrdinateurCA-CA.

  3. Cliquez sur l’onglet Extensions. Vérifiez que Sélection des extensions a la valeur Points de distribution de liste de révocation des certificats (CDP) et, dans Spécifiez des emplacements à partir desquels les utilisateurs pourront obtenir une liste de révocation des certificats, effectuez ce qui suit :

    1. Sélectionnez l’entrée file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl, puis cliquez sur Supprimer. Dans Confirmer la suppression, cliquez sur Oui.

    2. Sélectionnez l’entrée http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl, puis cliquez sur Supprimer. Dans Confirmer la suppression, cliquez sur Oui.

    3. Sélectionnez l’entrée qui commence par le chemin ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>, puis cliquez sur Supprimer. Dans Confirmer la suppression, cliquez sur Oui.

  4. Dans Spécifier les emplacements à partir desquels les utilisateurs peuvent obtenir une liste de révocation de certificats (CRL), cliquez sur Ajouter. La boîte de dialogue Ajouter un emplacement s’ouvre.

  5. Dans Ajouter un emplacement, dans Emplacement, tapez http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl, puis cliquez sur OK. Cela vous renvoie à la boîte de dialogue Propriétés de l’autorité de certification.

  6. Sous l’onglet Extensions, activez les cases à cocher suivantes :

    • Inclure dans les listes de révocation de certificats. Les clients l’utilisent pour retrouver les emplacements des listes de révocation de certificats delta

    • Inclure dans l’extension CDP des certificats émis

  7. Dans Spécifier les emplacements à partir desquels les utilisateurs peuvent obtenir une liste de révocation de certificats (CRL), cliquez sur Ajouter. La boîte de dialogue Ajouter un emplacement s’ouvre.

  8. Dans Ajouter un emplacement, dans Emplacement, tapez file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl, puis cliquez sur OK. Cela vous renvoie à la boîte de dialogue Propriétés de l’autorité de certification.

  9. Sous l’onglet Extensions, activez les cases à cocher suivantes :

    • Publier les listes de révocation de certificats sur cet emplacement

    • Publier les listes de révocation de certificats delta sur cet emplacement

  10. Remplacez Sélectionner une extension par Authority Information Access (AIA) et, dans Spécifier les emplacements à partir desquels les utilisateurs peuvent obtenir une liste de révocation de certificat (CRL), procédez comme suit :

    1. Sélectionnez l’entrée qui commence par le chemin ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services, puis cliquez sur Supprimer. Dans Confirmer la suppression, cliquez sur Oui.

    2. Sélectionnez l’entrée http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt, puis cliquez sur Supprimer. Dans Confirmer la suppression, cliquez sur Oui.

    3. Sélectionnez l’entrée file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt, puis cliquez sur Supprimer. Dans Confirmer la suppression, cliquez sur Oui.

  11. Dans Spécifier les emplacements à partir desquels les utilisateurs peuvent obtenir le certificat pour cette autorité de certification, cliquez sur Ajouter. La boîte de dialogue Ajouter un emplacement s’ouvre.

  12. Dans Ajouter un emplacement, dans Emplacement, tapez http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt, puis cliquez sur OK. Cela vous renvoie à la boîte de dialogue Propriétés de l’autorité de certification.

  13. Sous l’onglet Extensions, sélectionnez Inclure dans l’AIA des certificats émis.

  14. Quand vous êtes invité à redémarrer les services de certificats Active Directory, cliquez sur Non. Vous redémarrerez le service ultérieurement.