通过

在 CA1 上配置 CDP 和 AIA 扩展

可使用此过程在 CA1 上配置“证书吊销列表 (CRL) 分发点 (CDP)”和“授权信息访问 (AIA)”设置。

若要执行此过程,你必须是域管理员的成员。

在 CA1 上配置 CDP 和 AIA 扩展

  1. 在服务器管理器中,单击 “工具 ”,然后单击“ 证书颁发机构”。

  2. 在证书颁发机构控制台树中,右键单击 corp-CA1-CA,然后单击“ 属性”。

    Note

    如果未将计算机命名为 CA1,并且你的域名与本例中的域名不同,则 CA 的名称会有所不同。 CA 名称采用格式 -CAComputerName-CA

  3. 单击“ 扩展 ”选项卡。确保 选择扩展 设置为 CRL 分发点(CDP),并在 用户可以从中获取证书吊销列表(CRL)的指定位置执行以下作:

    1. 选择该条目 file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然后单击“ 删除”。 在 “确认删除”中,单击“ ”。

    2. 选择该条目 http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然后单击“ 删除”。 在 “确认删除”中,单击“ ”。

    3. 选择以路径 ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>开头的条目,然后单击“ 删除”。 在 “确认删除”中,单击“ ”。

  4. 在“指定用户可以获取证书吊销列表 (CRL) 的位置”中,单击“添加”。 此时将打开 “添加位置 ”对话框。

  5. “添加位置”中,在 “位置”中键入 http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然后单击“ 确定”。 这将返回到“CA 属性”对话框。

  6. 在“ 扩展 ”选项卡上,选中以下复选框:

    • 包含在 CRL 中。 客户端使用该值查找增量 CRL 的位置

    • 包含在已颁发的证书的 CDP 扩展

  7. 在“指定用户可以获取证书吊销列表 (CRL) 的位置”中,单击“添加”。 此时将打开 “添加位置 ”对话框。

  8. “添加位置”中,在 “位置”中键入 file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl,然后单击“ 确定”。 这将返回到“CA 属性”对话框。

  9. 在“ 扩展 ”选项卡上,选中以下复选框:

    • 将 CRL 发布到此位置

    • 将增量 CRL 发布到此位置

  10. “选择扩展 ”更改为 “颁发机构信息访问”(AIA),并在“ 指定用户可以从中获取证书吊销列表(CRL”)的位置执行以下作:

    1. 选择以路径 ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services开头的条目,然后单击“ 删除”。 在 “确认删除”中,单击“ ”。

    2. 选择该条目 http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt,然后单击“ 删除”。 在 “确认删除”中,单击“ ”。

    3. 选择该条目 file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt,然后单击“ 删除”。 在 “确认删除”中,单击“ ”。

  11. 在“指定用户可以获取此 CA 证书的位置”中,单击“添加”。 此时将打开 “添加位置 ”对话框。

  12. “添加位置”中,在 “位置”中键入 http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt,然后单击“ 确定”。 这将返回到“CA 属性”对话框。

  13. 在“ 扩展 ”选项卡上,选择 “包含已颁发的证书的 AIA”。

  14. 当系统提示重启 Active Directory 证书服务时,单击“ ”。 稍后再重启该服务。