在 CA1 上配置 CDP 和 AIA 扩展

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

你可以使用此过程在 CA1 上配置证书吊销列表, (CRL) 分发点 (CDP) 和颁发机构信息访问 (AIA) 设置。

若要执行此过程,您必须是 Domain Admins 的成员。

在 CA1 上配置 CDP 和 AIA 扩展

  1. 在服务器管理器中,单击“工具”,然后单击“证书颁发机构”

  2. 在 "证书颁发机构" 控制台树中,右键单击 " CA1-CA",然后单击 " 属性"。

    备注

    如果你未将计算机命名为 CA1,并且你的域名与此示例中的名称不同,则你的 CA 名称不同。 CA 名称的格式为domainCAComputerName-ca。

  3. 单击 " 扩展 " 选项卡。确保将 " 选择扩展 " 设置为 " crl 分发点 (CDP") ,并在 " 指定用户可以从中获取证书吊销列表 (CRL) 中执行以下操作:

    1. 选择该条目 file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ,然后单击 " file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl"。 在 " 确认删除" 中单击 "是"

    2. 选择该条目 http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ,然后单击 " http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl"。 在 " 确认删除" 中单击 "是"

    3. 选择以路径 ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName> 开头的条目,然后单击 " ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>"。 在 " 确认删除" 中单击 "是"

  4. 在 " 指定用户可以从中获取证书吊销列表 (CRL) 中,单击" 添加"。 " 添加位置 " 对话框将打开。

  5. 在 " 添加位置" 的 " 位置" 中,键入 ,然后单击 "确定"。 这会返回到 CA 属性对话框。

  6. 在 " 扩展 " 选项卡上,选中以下复选框:

    • 包含在 CRL 中。 客户端使用此来查找增量 CRL 位置

    • 包含在已颁发证书的 CDP 扩展中

  7. 在 " 指定用户可以从中获取证书吊销列表 (CRL) 中,单击" 添加"。 " 添加位置 " 对话框将打开。

  8. 在 " 添加位置" 的 " 位置" 中,键入 ,然后单击 "确定"。 这会返回到 CA 属性对话框。

  9. 在 " 扩展 " 选项卡上,选中以下复选框:

    • 将 CRL 发布到此位置

    • 将增量 Crl 发布到此位置

  10. 将 " 选择扩展 " 更改为 " 颁发机构信息访问 (AIA") ,并在 " 指定用户可以从中获取证书吊销列表 (CRL) 中执行以下操作:

    1. 选择以路径 ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services 开头的条目,然后单击 " ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services"。 在 " 确认删除" 中单击 "是"

    2. 选择该条目 http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt ,然后单击 " http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt"。 在 " 确认删除" 中单击 "是"

    3. 选择该条目 file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt ,然后单击 " file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt"。 在 " 确认删除" 中单击 "是"

  11. 在 " 指定用户可以从中获取此 CA 的证书的位置" 中,单击 " 添加"。 " 添加位置 " 对话框将打开。

  12. 在 " 添加位置" 的 " 位置" 中,键入 ,然后单击 "确定"。 这会返回到 CA 属性对话框。

  13. 在 " 扩展 " 选项卡上,选择 "在已颁发证书的 AIA 中包含"

  14. 当系统提示重新启动 Active Directory 证书服务时,单击 " "。 稍后将重新启动该服务。