将 CA 证书和 CRL 复制到虚拟目录

适用范围:Windows Server 2022、Windows Server 2019、Windows Server 2016

可以使用此过程将证书吊销列表和Enterprise根 CA 证书从证书颁发机构复制到 Web 服务器上的虚拟目录,并确保正确配置 AD CS。 在运行以下命令之前,请确保将目录和服务器名称替换为适合部署的目录和服务器名称。

若要执行此过程,你必须是 域管理员的成员。

将证书吊销列表从 CA1 复制到 WEB1

  1. 在 CA1 中,以管理员身份运行Windows PowerShell,然后使用以下命令发布 CRL:

    • 键入 certutil -crl,然后按 Enter。

    • 若要将 CA1 证书复制到 Web 服务器上的文件共享,请键入 copy C:\Windows\system32\certsrv\certenroll\*.crt \\WEB1\pki,然后按 Enter。

    • 若要将证书吊销列表复制到 Web 服务器上的文件共享,请键入 copy C:\Windows\system32\certsrv\certenroll\*.crl \\WEB1\pki,然后按 Enter。

  2. 若要验证 CDP 和 AIA 扩展位置是否已正确配置,请键入 pkiview.msc,然后按 Enter。 pkiview Enterprise PKI MMC 随即打开。

  3. 在左窗格中,单击 CA 名称。

    例如,如果 CA 名称为 corp-CA1-CA,请单击 corp-CA1-CA

  4. 在结果窗格的“状态”列中,验证以下内容的值是否显示 “确定” :

    • CA 证书
    • AIA 位置 #1
    • CDP 位置 #1

提示

如果任何项 的状态正常,请执行以下操作:

  • 打开 Web 服务器上的共享,验证证书和证书吊销列表文件是否已成功复制到共享。 如果未成功复制到共享,请使用正确的文件源修改复制命令并共享目标,然后再次运行命令。
  • 验证是否已在“CA 扩展”选项卡上输入 CDP 和 AIA 的正确位置。确保你提供的位置中没有额外的空格或其他字符。
  • 验证是否已将 CRL 和 CA 证书复制到 Web 服务器上的正确位置,并且该位置是否与为 CA 上的 CDP 和 AIA 位置提供的位置匹配。
  • 验证是否为存储 CA 证书和 CRL 的虚拟文件夹正确配置了权限。