如何為內部 Windows 證書頒發機構發布 CRL?
我有一個帶有企業根證書頒發機構的 Active Directory 域;該域使用私有域名(“domain.local”),我們也有一個公共域名(“domain.com”)。該域包含以下伺服器:
- dc1.domain.local(域控制器)
- dc2.domain.local(域控制器)
- ca.domain.local(認證機構)
- exchange.domain.local (Exchange 2010)
- fw.domain.local(TMG 2010 防火牆)
防火牆有兩個網路介面,一個私有一個公共一個,還有一堆公共IP地址;它也是內部網路的預設網關。它使用公共名稱“mail.domain.com”發布 Exchange 伺服器的 Web 服務,它還充當 SSTP VPN 伺服器,使用公共名稱“vpn.domain.com”。所有涉及的證書均由內部 CA 頒發。這沒關係,因為所有使用此域服務的電腦都應該信任內部 CA 的證書。
我需要發佈內部 CA 的證書吊銷列表,否則 Windows SSTP VPN 客戶端會抱怨無法檢查它(我知道這可以使用系統資料庫項來修復,但很難全域管理)。
我已經頒發了包含兩個名稱“ca.domain.local”和“ca.domain.com”的證書,我已經在 CA 的 IIS 和 TMG 防火牆上配置了它,並且我已經發布了內部 CA 的網站與公共 URL
https://ca.domain.com
。但這裡有一個問題:我如何告訴 CA 在其證書中寫下它的 CRL 可以在 找到
http://ca.domain.com/SomePath
,而不是在http://ca.domain.local/SomePath
預設配置?而且:由於這些資訊嵌入在每個頒發的證書中,如果我更改它,我是否需要重新頒發它們,以便檢查它們的人知道在哪裡可以找到他們的 CRL?
您將需要通過證書頒發機構管理單元修改 CA 的 CRL 位置。右鍵點擊 CA,選擇“屬性”,然後選擇“擴展”選項卡。選擇“CRL 分發點”擴展並添加所需的位置。
完整說明位於 Technet:http ://technet.microsoft.com/en-us/library/ee649168(WS.10).aspx
不幸的是,CRL 路徑被“連接”到已頒發的證書,因此如果您已經擁有先前已頒發的證書,則需要重新頒發。只需創建一個取代舊證書模板的新證書模板並將您的電腦配置為自動註冊。