将 CA 证书和 CRL 复制到虚拟目录

  1. 在 CA1 上Windows PowerShell管理员角色,然后通过以下命令发布 CRL:

    • 键入 certutil -crl,然后按 Enter。

    • 若要将 CA1 证书复制到 Web 服务器的文件共享,请键入 copy C:\Windows\system32\certsrv\certenroll\*.crt \\WEB1\pki ,然后按 Enter。

    • 若要将证书吊销列表复制到 Web 服务器的文件共享,请键入 copy C:\Windows\system32\certsrv\certenroll\*.crl \\WEB1\pki ,然后按 Enter。

  2. 若要验证是否正确配置了 CDP 和 AIA 扩展位置,请键入 pkiview.msc ,然后按 Enter。 pkiview Enterprise PKI MMC 随即打开。

  3. 在左窗格中,单击 CA 名称。

    例如,如果 CA 名称为 corp-CA1-CA,请单击 corp-CA1-CA

  4. 在结果窗格的"状态"列中,验证以下值是否显示"确定":

    • CA 证书
    • AIA 位置 #1
    • CDP 位置 #1

提示

如果 任何 项的状态都 不正常,请执行下列操作:

  • 在 Web 服务器上打开共享,验证证书和证书吊销列表文件是否成功复制到共享。 如果它们未成功复制到共享,请使用正确的文件源和共享目标修改复制命令,然后再次运行这些命令。
  • 验证在"CA 扩展"选项卡上输入了 CDP 和 AIA 的正确位置。确保提供的位置没有额外的空格或其他字符。
  • 验证是否将 CRL 和 CA 证书复制到了 Web 服务器上的正确位置,以及该位置是否与为 CA 上的 CDP 和 AIA 位置提供的位置匹配。
  • 验证是否正确配置了存储 CA 证书和 CRL 的虚拟文件夹的权限。

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

可以使用此过程将证书吊销列表和 Enterprise根 CA 证书从证书颁发机构复制到 Web 服务器的虚拟目录,并确保正确配置AD CS证书。 在运行以下命令之前,请确保将目录和服务器名称替换为适用于部署的名称。

若要执行此过程,你必须是域 管理员 的成员

将证书吊销列表从 CA1 复制到 WEB1