Konfigurieren von WEB1 zum Verteilen von Zertifikatssperrlisten
Mit diesem Verfahren können Sie den Webserver WEB1 für die Verteilung von Zertifikatsperrlisten konfigurieren.
In den Erweiterungen der Stammzertifizierungsstelle wurde angegeben, dass die Zertifikatsperrliste aus der Stammzertifizierungsstelle über https://pki.corp.contoso.com/pki verfügbar ist. Derzeit gibt es kein virtuelles PKI-Verzeichnis auf WEB1, daher muss eines erstellt werden.
Zur Durchführung dieses Verfahrens müssen Sie ein Mitglied von Domänen-Admins sein.
Hinweis
Ersetzen Sie im folgenden Verfahren den Benutzerkontonamen, den Webservernamen, die Ordnernamen und die Speicherorte sowie andere Werte durch die Werte, die für Ihre Bereitstellung geeignet sind.
So konfigurieren Sie WEB1 für die Verteilung von Zertifikaten und Zertifikatsperrlisten
Führen Sie unter WEB1 Windows PowerShell als Administrator aus, geben Sie
explorer c:\ein, und drücken Sie dann die EINGABETASTE. Windows-Explorer wird für Laufwerk C geöffnet.Erstellen Sie auf Laufwerk C: einen neuen Ordner mit dem Namen „PKI“. Klicken Sie hierzu auf Start und dann auf Neuer Ordner. Es wird ein neuer Ordner mit hervorgehobenem temporären Namen erstellt. Geben Sie pki ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie im Windows-Explorer mit der rechten Maustaste auf den soeben erstellten Ordner, zeigen Sie mit dem Mauszeiger auf Freigeben für, und klicken Sie dann auf Bestimmte Personen. Das Dialogfeld Dateifreigabe wird geöffnet.
Geben Sie unter Dateifreigabedie Zeichenfolge Cert Publishers ein, und klicken Sie dann auf Hinzufügen. Die Gruppe „Cert Publishers“ wird der Liste hinzugefügt. Klicken Sie in der Liste unter Berechtigungsstufe auf den Pfeil neben Zertifikatverleger, und klicken Sie dann auf Lese-/Schreibzugriff. Klicken Sie auf Freigeben und dann auf Fertig.
Schließen Sie Windows-Explorer.
Öffnen Sie die IIS-Konsole. Klicken Sie im Server-Manager auf Extras und anschließend auf Internetinformationsdienste-Manager.
Erweitern Sie in der Konsolenstruktur des IIS-Managers (Internet Information Services) den Knoten WEB1. Wenn Sie gefragt werden, ob Sie mit Microsoft-Webplattform beginnen möchten, klicken Sie auf Abbrechen.
Erweitern Sie Websites, klicken Sie mit der rechten Maustaste auf Default Web Site, und klicken Sie dann auf Virtuelles Verzeichnis hinzufügen.
Geben Sie unter Alias den Aliasnamen pki ein. Geben Sie unter Physischer PfadC:\pki ein, und klicken Sie dann auf OK.
Aktivieren Sie „Anonymer Zugriff auf das virtuelle Verzeichnis pki“, damit jeder Client die Gültigkeit der Zertifizierungsstellenzertifikate und Zertifikatsperrlisten überprüfen kann. Gehen Sie folgendermaßen vor:
Stellen Sie im Bereich Verbindungen sicher, dass pki ausgewählt ist.
Klicken Sie in pki-Startseite auf Authentifizierung.
Klicken Sie im Bereich Aktionen auf Berechtigungen bearbeiten.
Klicken Sie auf der Registerkarte Sicherheit auf Bearbeiten.
Klicken Sie im Dialogfeld Berechtigungen für pki auf Hinzufügen.
Geben Sie unter Benutzer, Computer, Dienstkonten oder Gruppen auswählenANONYME ANMELDUNG; Jeder ein, und klicken Sie dann auf Namen überprüfen. Klicke auf OK.
Klicken Sie im Dialogfeld Benutzer, Computer, Dienstkonten oder Gruppen auswählen auf OK.
Klicken Sie im Dialogfeld Berechtigungen für pki auf OK.
Klicken Sie im Dialogfeld pki-Eigenschaften auf OK.
Doppelklicken Sie im Bereich pki-Startseite auf Anforderungsfilterung.
Im Bereich Anforderungsfilterung ist die Registerkarte Dateinamenerweiterungen standardmäßig ausgewählt. Klicken Sie im Bereich Aktionen auf Featureeinstellungen bearbeiten.
Wählen Sie unter Einstellungen für die Anforderungsfilterung bearbeiten die Option Doppelte Escapezeichen zulassen aus, und klicken Sie dann auf OK.
Klicken Sie im MMC des IIS-Managers (Internetinformationsdienste) auf den Namen Ihres Webservers. Wenn Ihr Webserver beispielsweise WEB1 heißt, klicken Sie auf WEB1.
Klicken Sie unter Aktionen auf Neu starten. Internetdienste werden beendet und dann neu gestartet.