在 CA1 上配置 CDP 和 AIA 扩展

  • 项目

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

可使用此过程在 CA1 上配置“证书吊销列表 (CRL) 分发点 (CDP)”和“授权信息访问 (AIA)”设置。

若要执行此过程,你必须是域管理员的成员。

在 CA1 上配置 CDP 和 AIA 扩展

  1. 在服务器管理器中,单击 “工具” ,然后单击 “证书颁发机构”

  2. 在“证书颁发机构”控制台树中,右键单击 corp-CA1-CA,然后单击“属性”

    注意

    如果未将计算机命名为 CA1,并且你的域名与本例中的域名不同,则 CA 的名称会有所不同。 CA 名称的格式为“domain-CAComputerName-CA”

  3. 单击“扩展”选项卡。确保将“选择扩展”设置为“CRL 分发点 (CDP)”,并在“指定用户可以获取证书吊销列表 (CRL) 的位置”中执行以下操作

    1. 选择 file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl 条目,然后单击“删除”。 在“确认删除”中,单击“是”

    2. 选择 http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl 条目,然后单击“删除”。 在“确认删除”中,单击“是”

    3. 选择以路径 ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName> 开头的条目,然后单击“删除”。 在“确认删除”中,单击“是”

  4. 在“指定用户可以获取证书吊销列表 (CRL) 的位置”中,单击“添加”。 此时会打开“添加位置”对话框

  5. 在“添加位置”的“位置”中,键入 http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然后单击“确定”。 这将返回到“CA 属性”对话框。

  6. 在“扩展”选项卡上,选中以下复选框

    • 包含在 CRL 中。 客户端使用该值查找增量 CRL 的位置

    • 包含在已颁发的证书的 CDP 扩展

  7. 在“指定用户可以获取证书吊销列表 (CRL) 的位置”中,单击“添加”。 此时会打开“添加位置”对话框

  8. 在“添加位置”的“位置”中,键入 file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然后单击“确定”。 这将返回到“CA 属性”对话框。

  9. 在“扩展”选项卡上,选中以下复选框

    • 将 CRL 发布到此位置

    • 将增量 CRL 发布到此位置

  10. 将“选择扩展”更改为“授权信息访问 (AIA)”,并在“指定用户可以获取证书吊销列表 (CRL) 的位置”中执行以下操作

    1. 选择以路径 ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services 开头的条目,然后单击“删除”。 在“确认删除”中,单击“是”

    2. 选择 http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt 条目,然后单击“删除”。 在“确认删除”中,单击“是”

    3. 选择 file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt 条目,然后单击“删除”。 在“确认删除”中,单击“是”

  11. 在“指定用户可以获取此 CA 证书的位置”中,单击“添加”。 此时会打开“添加位置”对话框

  12. 在“添加位置”的“位置”中,键入 http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt,然后单击“确定”。 这将返回到“CA 属性”对话框。

  13. 在“扩展”选项卡上,选择“包含在已颁发证书的 AIA 中”

  14. 如果收到重启 Active Directory 证书服务的提示,则单击“否”。 稍后再重启该服务。