在 CA1 上設定 CDP 及 AIA 延伸模組
適用於:Windows Server 2022、Windows Server 2019、Windows Server 2016
您可以使用此程序來設定 CA1 上的憑證撤銷清單 (CRL) 發佈點 (CDP) 和授權單位資訊存取 (AIA) 設定。
您必須是 Domain Admins 群組的成員,才可以執行此程序。
在 CA1 上設定 CDP 及 AIA 延伸
在 [伺服器管理員] 按一下 [工具] ,然後按一下 [憑證授權單位] 。
在憑證授權單位主控台樹狀目錄中的 corp-CA1-CA 上按一下滑鼠右鍵,然後按一下 [內容]。
注意
如果您未將電腦 CA1 命名,且您的網域名稱與此範例中的名稱不同,則 CA 的名稱會不同。 CA 名稱的格式為網域-CAComputerName-CA。
按一下 [延伸] 索引標籤。確認 [選擇延伸] 設為 [CRL 發佈點 (CDP)],然後在 [請指定使用者可以獲得憑證撤銷清單 (CRL) 的位置] 中,執行下列操作:
選取項目
file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然後按一下 [移除]。 在 [確認移除] 中,按一下 [是]。選取項目
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然後按一下 [移除]。 在 [確認移除] 中,按一下 [是]。選取以路徑
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>開頭的項目,然後按一下 [移除]。 在 [確認移除] 中,按一下 [是]。
在 [指定使用者可以取得憑證撤銷清單的位置] 中,按一下 [新增]。 [新增位置] 對話方塊隨即開啟。
在 [新增位置] 的 [位置] 中,輸入
http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然後按一下 [確定]。 這會讓您返回 [CA] 內容對話方塊。在 [延伸] 索引標籤上,選取下列核取方塊:
包含在 CRL 中。 用戶端可使用此項目來尋找 Delta CRL 位置
包含在簽發之憑證的 CDP 延伸中
在 [指定使用者可以取得憑證撤銷清單的位置] 中,按一下 [新增]。 [新增位置] 對話方塊隨即開啟。
在 [新增位置] 的 [位置] 中,輸入
file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然後按一下 [確定]。 這會讓您返回 [CA] 內容對話方塊。在 [延伸] 索引標籤上,選取下列核取方塊:
將 CRL 發佈至此位置
將 Delta CRL 發佈至此位置
將 [選取延伸] 變更為 [授權單位資訊存取 (AIA)], 然後在 [指定使用者可以從中取得憑證撤銷清單 (CRL) 的位置] 中執行下列動作:
選取以路徑
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services開頭的項目,然後按一下 [移除]。 在 [確認移除] 中,按一下 [是]。選取項目
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt,然後按一下 [移除]。 在 [確認移除] 中,按一下 [是]。選取項目
file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt,然後按一下 [移除]。 在 [確認移除] 中,按一下 [是]。
在 [指定使用者可以取得此 CA 憑證的位置] 中,按一下 [新增]。 [新增位置] 對話方塊隨即開啟。
在 [新增位置] 的 [位置] 中,輸入
http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt,然後按一下 [確定]。 這會讓您返回 [CA] 內容對話方塊。在 [延伸] 索引標籤上,選取 [包含在已發行憑證的 AIA 中]。
如果系統提示您重新啟動 Active Directory 憑證服務,請按一下 [否]。 您稍後會重新啟動服務。