Настройка расширений CDP и AIA в CA1
Область применения: Windows Server 2022, Windows Server 2019, Windows Server 2016
Эту процедуру можно использовать для настройки точки распространения (CRL) списка отзыва сертификатов (CDP) и параметров доступа к данным центра (AIA) в CA1.
Для выполнения этой процедуры необходимо быть членом доменных Администратор.
Настройка расширений CDP и AIA в CA1
В Диспетчере серверов щелкните Средства , затем щелкните Центр сертификации.
В дереве консоли центра сертификации щелкните правой кнопкой мыши corp-CA1-CA и выберите пункт "Свойства".
Примечание.
Имя ЦС отличается, если вы не назовете компьютер ЦС1, а доменное имя отличается от имени в этом примере. Имя ЦС находится в домене-caComputerName-CA формата.
Перейдите на вкладку "Расширения". Убедитесь, что для расширения выбрана точка распространения CRL (CDP) и в разделе "Указание расположений, из которых пользователи могут получить список отзыва сертификатов (CRL)", сделайте следующее:
Выберите запись
file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlи нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".Выберите запись
http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlи нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".Выберите запись, начинающуюся с пути
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>, и нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".
В разделе "Укажите расположения, из которых пользователи могут получить список отзыва сертификатов (CRL)", нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить расположение ".
В поле "Добавить расположение" в поле "Расположение" введите
http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlи нажмите кнопку "ОК". Возвращается диалоговое окно свойств ЦС.На вкладке "Расширения" выберите следующие поля проверка:
Включить в CRL. Клиенты используют это для поиска расположений delta CRL
Включение в расширение CDP выданных сертификатов
В разделе "Укажите расположения, из которых пользователи могут получить список отзыва сертификатов (CRL)", нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить расположение ".
В поле "Добавить расположение" в поле "Расположение" введите
file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlи нажмите кнопку "ОК". Возвращается диалоговое окно свойств ЦС.На вкладке "Расширения" выберите следующие поля проверка:
Публикация crls в этом расположении
Публикация разностных списков crls в этом расположении
Измените расширение Select на Доступ к данным центра (AIA) и в разделе "Укажите расположения", из которых пользователи могут получить список отзыва сертификатов (CRL), сделайте следующее:
Выберите запись, начинающуюся с пути
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services, и нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".Выберите запись
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crtи нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".Выберите запись
file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crtи нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".
В разделе "Указание расположений", из которых пользователи могут получить сертификат для этого ЦС, нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить расположение ".
В поле "Добавить расположение" в поле "Расположение" введите
http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crtи нажмите кнопку "ОК". Возвращается диалоговое окно свойств ЦС.На вкладке "Расширения" выберите "Включить" в AIA выданных сертификатов.
При появлении запроса на перезапуск служб сертификатов Active Directory нажмите кнопку "Нет". Позже вы перезапустите службу.