Konfigurieren der CDP- und AIA-Erweiterungen für Zertifizierungsstelle 1

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Mit diesem Verfahren können Sie den Zertifikatsperrlisten-Verteilungspunkt (Certificate Revocation List, CRL) und die Einstellungen für den Autoritätsinformationszugriff (Authority Information Access, AIA) auf CA1 konfigurieren.

Um dieses Verfahren ausführen zu können, müssen Sie Mitglied der Domänenadministratoren sein.

So konfigurieren Sie die CDP- und AIA-Erweiterungen auf CA1

  1. Klicken Sie in Server-Manager auf Extras und dann auf Zertifizierungsstelle.

  2. Klicken Sie in der Konsolenstruktur Zertifizierungsstelle mit der rechten Maustaste auf corp-CA1-CA, und klicken Sie dann auf Eigenschaften.

    Hinweis

    Der Name Ihrer Zertifizierungsstelle ist anders, wenn Sie den Computer CA1 nicht genannt haben und Ihr Domänenname sich von dem in diesem Beispiel unterscheiden. Der Zertifizierungsstellenname hat das Format domainCAComputerName-CA.

  3. Klicken Sie auf die Registerkarte Erweiterungen . Stellen Sie sicher , dass Erweiterung auswählen auf CRL-Verteilungspunkt (CRL Distribution Point, CDP) festgelegt ist, und führen Sie unter Speicherorte angeben, von denen Benutzer eine Zertifikatsperrliste (Certificate Revocation List, CRL) abrufen können die folgenden Schritte aus:

    1. Wählen Sie den Eintrag file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlaus, und klicken Sie dann file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl. Klicken Sie unter Entfernung bestätigen auf Ja.

    2. Wählen Sie den Eintrag http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlaus, und klicken Sie dann http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl. Klicken Sie unter Entfernung bestätigen auf Ja.

    3. Wählen Sie den Eintrag aus, der mit dem Pfad beginnt ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>, und klicken Sie dann auf ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>. Klicken Sie unter Entfernung bestätigen auf Ja.

  4. Klicken Sie unter Speicherorte angeben, von denen Benutzer eine Zertifikatsperrliste (Certificate Revocation List, CRL) abrufen können auf Hinzufügen. Das Dialogfeld Speicherort hinzufügen wird geöffnet.

  5. Geben Sie unter Standort hinzufügen unter Speicherort den Text ein, und klicken Sie dann auf OK. Dadurch werden Sie zum Dialogfeld Zertifizierungsstelleneigenschaften zurückverkn.

  6. Aktivieren Sie auf der Registerkarte Erweiterungen die folgenden Kontrollkästchen:

    • In CRLs einbeziehen. Clients verwenden dies, um die Delta-Zertifikatsperrlisten-Speicherorte zu suchen.

    • Include in the CDP extension of issued certificates (CdP-Erweiterung ausgestellter Zertifikate)

  7. Klicken Sie unter Speicherorte angeben, von denen Benutzer eine Zertifikatsperrliste (Certificate Revocation List, CRL) abrufen können auf Hinzufügen. Das Dialogfeld Speicherort hinzufügen wird geöffnet.

  8. Geben Sie unter Standort hinzufügen unter Speicherort den Text ein, und klicken Sie dann auf OK. Dadurch werden Sie zum Dialogfeld Zertifizierungsstelleneigenschaften zurückverkn.

  9. Aktivieren Sie auf der Registerkarte Erweiterungen die folgenden Kontrollkästchen:

    • Veröffentlichen von CRLs an diesem Ort

    • Veröffentlichen von Delta-CRLs an diesem Speicherort

  10. Ändern Sie Select extension to Authority Information Access (AIA) (Erweiterung auswählen in Zugriff auf Autoritätsinformationen (Authority Information Access, AIA)), und führen Sie unter Speicherorte angeben, von denen Benutzer eine Zertifikatsperrliste (Certificate Revocation List, CRL) abrufen können die folgenden Schritte aus:

    1. Wählen Sie den Eintrag aus, der mit dem Pfad beginnt ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services, und klicken Sie dann auf ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services. Klicken Sie unter Entfernung bestätigen auf Ja.

    2. Wählen Sie den Eintrag http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crtaus, und klicken Sie dann http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt. Klicken Sie unter Entfernung bestätigen auf Ja.

    3. Wählen Sie den Eintrag file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crtaus, und klicken Sie dann file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt. Klicken Sie unter Entfernung bestätigen auf Ja.

  11. Klicken Sie unter Speicherorte angeben, von denen Benutzer das Zertifikat für diese Zertifizierungsstelle erhalten können auf Hinzufügen. Das Dialogfeld Speicherort hinzufügen wird geöffnet.

  12. Geben Sie unter Standort hinzufügen unter Speicherort den Text ein, und klicken Sie dann auf OK. Dadurch werden Sie zum Dialogfeld Zertifizierungsstelleneigenschaften zurückverkn.

  13. Wählen Sie auf der Registerkarte Erweiterungen die Option Include in the AIA of issued certificates (In AIA ausgestellter Zertifikate enthalten) aus.

  14. Wenn Sie aufgefordert werden, Active Directory-Zertifikatdienste neu zu starten, klicken Sie auf Nein. Sie werden den Dienst später neu starten.