Поделиться через

Настройка расширений CDP и AIA в CA1

Эту процедуру можно использовать для настройки точки распространения (CRL) списка отзыва сертификатов (CDP) и параметров доступа к данным центра (AIA) в CA1.

Для выполнения этой процедуры необходимо быть членом администраторов домена.

Настройка расширений CDP и AIA в CA1

  1. В Диспетчере серверов щелкните Средства , затем щелкните Центр сертификации.

  2. В дереве консоли центра сертификации щелкните правой кнопкой мыши corp-CA1-CA и выберите пункт "Свойства".

    Примечание.

    Имя ЦС отличается, если вы не назовете компьютер ЦС1, а доменное имя отличается от имени в этом примере. Имя ЦС находится в домене-caComputerName-CA формата.

  3. Перейдите на вкладку "Расширения". Убедитесь, что для расширения выбрана точка распространения CRL (CDP) и в разделе "Указание расположений, из которых пользователи могут получить список отзыва сертификатов (CRL)", сделайте следующее:

    1. Выберите запись file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlи нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".

    2. Выберите запись http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlи нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".

    3. Выберите запись, начинающуюся с пути ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>, и нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".

  4. В разделе "Укажите расположения, из которых пользователи могут получить список отзыва сертификатов (CRL)", нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить расположение ".

  5. В поле "Добавить расположение" в поле "Расположение" введите http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlи нажмите кнопку "ОК". Возвращается диалоговое окно свойств ЦС.

  6. На вкладке "Расширения" установите следующие флажки:

    • Включить в CRL. Клиенты используют это для поиска расположений delta CRL

    • Включение в расширение CDP выданных сертификатов

  7. В разделе "Укажите расположения, из которых пользователи могут получить список отзыва сертификатов (CRL)", нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить расположение ".

  8. В поле "Добавить расположение" в поле "Расположение" введите file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crlи нажмите кнопку "ОК". Возвращается диалоговое окно свойств ЦС.

  9. На вкладке "Расширения" установите следующие флажки:

    • Публикация crls в этом расположении

    • Публикация разностных списков crls в этом расположении

  10. Измените расширение Select на Доступ к данным центра (AIA) и в разделе "Укажите расположения", из которых пользователи могут получить список отзыва сертификатов (CRL), сделайте следующее:

    1. Выберите запись, начинающуюся с пути ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services, и нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".

    2. Выберите запись http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crtи нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".

    3. Выберите запись file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crtи нажмите кнопку " Удалить". В разделе "Подтверждение удаления" нажмите кнопку "Да".

  11. В разделе "Указание расположений", из которых пользователи могут получить сертификат для этого ЦС, нажмите кнопку "Добавить". Откроется диалоговое окно "Добавить расположение ".

  12. В поле "Добавить расположение" в поле "Расположение" введите http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crtи нажмите кнопку "ОК". Возвращается диалоговое окно свойств ЦС.

  13. На вкладке "Расширения" выберите "Включить" в AIA выданных сертификатов.

  14. При появлении запроса на перезапуск служб сертификатов Active Directory нажмите кнопку "Нет". Позже вы перезапустите службу.