Kopieren sie das ZERTIFIZIERUNGszertifikat und die CRL in das virtuelle Verzeichnis

Gilt für: Windows Server 2022, Windows Server 2019, Windows Server 2016

Sie können dieses Verfahren verwenden, um die Zertifikatsperrliste und Enterprise Stammzertifikat von Ihrer Zertifizierungsstelle in ein virtuelles Verzeichnis auf Ihrem Webserver zu kopieren und sicherzustellen, dass AD CS ordnungsgemäß konfiguriert ist. Stellen Sie vor dem Ausführen der folgenden Befehle sicher, dass Sie Verzeichnis- und Servernamen durch diejenigen ersetzen, die für Ihre Bereitstellung geeignet sind.

Um diese Prozedur auszuführen, müssen Sie Mitglied von Domänenadministratoren sein.

So kopieren Sie die Zertifikatsperrliste von CA1 in WEB1

  1. Führen Sie in CA1 Windows PowerShell als Administrator aus, und veröffentlichen Sie dann die CRL mit dem folgenden Befehl:

    • Geben Sie certutil -crl ein, und drücken Sie dann die EINGABETASTE.

    • Wenn Sie das CA1-Zertifikat auf den Dateifreigabe auf Ihrem Webserver kopieren möchten, geben Sie die EINGABETASTE ein, und drücken Sie copy C:\Windows\system32\certsrv\certenroll\*.crt \\WEB1\pkidann die EINGABETASTE.

    • Wenn Sie die Zertifikatsperrlisten in die Dateifreigabe auf Ihrem Webserver kopieren möchten, geben Sie copy C:\Windows\system32\certsrv\certenroll\*.crl \\WEB1\pkidie EINGABETASTE ein.

  2. Um zu überprüfen, ob Ihre CDP- und AIA-Erweiterungsspeicherorte ordnungsgemäß konfiguriert sind, geben pkiview.mscSie die EINGABETASTE ein, und drücken Sie dann die EINGABETASTE. Die pkiview-Enterprise PKI MMC wird geöffnet.

  3. Klicken Sie im linken Bereich auf Ihren CA-Namen.

    Wenn ihr CA-Name z. B. corp-CA1-CA ist, klicken Sie auf corp-CA1-CA.

  4. Vergewissern Sie sich in der Spalte "Status" des Ergebnisbereichs, dass die Werte für die folgenden Werte OK angezeigt werden:

    • Zertifizierungsstelle
    • AIA-Standort #1
    • CDP-Speicherort #1

Tipp

Wenn der Status für ein Element nicht OK ist, gehen Sie wie folgt vor:

  • Öffnen Sie die Freigabe auf Ihrem Webserver, um zu überprüfen, ob die Zertifikat- und Zertifikatsperrlistendateien erfolgreich in die Freigabe kopiert wurden. Wenn sie nicht erfolgreich in die Freigabe kopiert wurden, ändern Sie Ihre Kopiebefehle mit der richtigen Dateiquelle und dem Ziel für die Freigabe, und führen Sie die Befehle erneut aus.
  • Stellen Sie sicher, dass Sie die richtigen Speicherorte für das CDP und AIA auf der Registerkarte "CA-Erweiterungen" eingegeben haben. Stellen Sie sicher, dass keine zusätzlichen Leerzeichen oder andere Zeichen an den von Ihnen bereitgestellten Orten vorhanden sind.
  • Stellen Sie sicher, dass Sie das CRL- und CA-Zertifikat an den richtigen Speicherort auf Ihrem Webserver kopiert haben, und dass der Speicherort dem Speicherort entspricht, den Sie für die CDP- und AIA-Speicherorte in der CA bereitgestellt haben.
  • Stellen Sie sicher, dass Sie Berechtigungen für den virtuellen Ordner ordnungsgemäß konfiguriert haben, in dem das ZERTIFIZIERUNGszertifikat und die CRL gespeichert sind.