配置 WEB1 以分发证书吊销列表 (CRL)
适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016
你可以使用此过程配置 Web 服务器 WEB1 以分发 CRL。
在根 CA 的扩展中,声称可通过 https://pki.corp.contoso.com/pki 使用根 CA 中的 CRL。 目前,WEB1 上没有 PKI 虚拟目录,所以必须创建一个。
若要执行此过程,你必须是域管理员的成员。
注意
在以下过程中,将用户帐户名称、Web 服务器名称、文件夹名称和位置以及其他值替换为适合部署的值。
配置 WEB1 以分发证书和 CRL
在 WEB1 上,以管理员身份运行 Windows PowerShell,键入
explorer c:\,然后按 Enter。 Windows 资源管理器打开到驱动器 C。在 C: 驱动器上创建名为 PKI 的新文件夹。 为此,请单击“主页”,然后单击“新建文件夹”。 创建一个新文件夹,其中突出显示了临时名称。 键入“pki”,然后按 Enter。
在 Windows 资源管理器中,右键单击刚创建的文件夹,将鼠标光标悬停在“共享对象”上,然后单击“特定人员”。 此时将打开“文件共享”对话框。
在“文件共享”中,键入“Cert Publishers”,然后单击“添加”。 Cert Publishers 组将添加到列表中。 在列表的“权限级别”中,单击“证书发布者”旁边的箭头,然后单击“读取/写入”。 单击“共享”,然后单击“完成”。
关闭 Windows 资源管理器。
打开 IIS 控制台。 在服务器管理器中,单击 “工具”,然后单击 “Internet 信息服务 (IIS) 管理器”。
在“Internet 信息服务 (IIS) 管理器”控制台树中,展开 WEB1。 如果你受邀从 Microsoft Web 平台开始,请单击 “取消”。
展开 “Sites” ,然后右键单击 “Default Web Site” ,并单击 “添加虚拟目录”。
在“别名”中,键入“pki”。 在“物理路径”中,键入“C:\pki”,然后单击“确定”。
启用对 pki 虚拟目录的匿名访问,以便任何客户端都可以检查 CA 证书和 CRL 的有效性。 为此,请执行以下操作:
在“连接”窗格中,确保已选择“pki”。
在 pki 主页 上,单击 “身份验证”。
在 “操作” 窗格中,单击 “编辑权限”。
在 “安全’ 选项卡上,单击 “编辑”
在 “pki 权限” 对话框中,单击 “添加”。
在“选择用户、计算机、服务帐户或组”中,键入“ANONYMOUS LOGON; Everyone”,然后单击“检查名称”。 单击“确定”。
在“选择用户、计算机、服务帐户或组”对话框中,单击“确定”。
在“pki 权限”对话框中,单击“确定”。
在“pki 属性”对话框中,单击“确定”。
在 “pki 主页” 窗格中,双击 “请求过滤”。
默认情况下,在 “请求过滤” 窗格中选择 “文件扩展名” 选项卡。 在“操作”窗格中,单击“编辑功能设置”。
在 “编辑请求过滤设置”中,选择 “允许双重转义” ,然后单击 “确定”。
在 Internet Information Services (IIS) Manager MMC 中,单击 Web 服务器名称。 例如,如果 Web 服务器名为 WEB1,请单击“WEB1”。
在“操作”中,单击“重启”。 停止然后重新启动 Internet 服务。