Configurar las extensiones AIA y CDP en CA1

• Se aplica a:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Puede usar este procedimiento para configurar el punto de distribución de lista de revocación de certificados (CRL), o CDP, y la configuración de acceso a la información de entidad emisora (AIA) en CA1.

Para llevar a cabo este procedimiento, debe ser miembro del grupo de Administración de dominio.

Para configurar las extensiones CDP y AIA en CA1

1. En Administrador del servidor, haga clic en Herramientas y, a continuación, haga clic en Entidad de certificación.

2. En el árbol de consola Entidad de certificación, elija con el botón derecho corp-CA1-CA y, a continuación, elija Propiedades.

   Nota

   El nombre de la entidad de certificación es diferente si no llamó CA1 al equipo y el nombre de dominio es diferente al del de este ejemplo. El nombre de la entidad de certificación tiene el formato dominio-CAComputerName-CA.

3. Elija la pestaña Extensiones. Asegúrese de que la opción Seleccionar extensiones está establecida en Punto de distribución de CLR (CDP) y, en Especificar ubicaciones desde donde los usuarios pueden obtener una lista de revocación de certificados (CRL), haga lo siguiente:

   1. Seleccione la entrada file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl y luego elija Quitar. En Confirmar eliminación elija Sí.

   2. Seleccione la entrada http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl y luego elija Quitar. En Confirmar eliminación elija Sí.

   3. Seleccione la entrada que comienza por la ruta de acceso ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName> y, a continuación, elija Quitar. En Confirmar eliminación elija Sí.

4. En Especificar ubicaciones desde las que los usuarios pueden obtener una lista de revocación de certificados (CRL), elija Agregar. Se abrirá el cuadro de diálogo Agregar ubicación.

5. En Agregar ubicación, en Ubicación, escriba http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl y, a continuación, elija Aceptar. Esto le devuelve al cuadro de diálogo de propiedades de la entidad de certificación.

6. En la pestaña Extensiones, active las casillas siguientes:

   • Incluir en las CRL Los clientes usan esto para encontrar las ubicaciones de Delta CRL

   • Incluir en la extensión CDP de los certificados emitidos

7. En Especificar ubicaciones desde las que los usuarios pueden obtener una lista de revocación de certificados (CRL), elija Agregar. Se abrirá el cuadro de diálogo Agregar ubicación.

8. En Agregar ubicación, en Ubicación, escriba file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl y, a continuación, elija Aceptar. Esto le devuelve al cuadro de diálogo de propiedades de la entidad de certificación.

9. En la pestaña Extensiones, active las casillas siguientes:

   • Publicar las listas de revocación de certificados (CRL) en esta ubicación

   • Publicar Delta CRL en esta ubicación

10. Cambie Seleccionar extensión a Acceso a información de entidad emisora (AIA) y, en Especificar las ubicaciones desde las que los usuarios pueden obtener una lista de revocación de certificados (CRL), haga lo siguiente:

    1. Seleccione la entrada que comienza por la ruta de acceso ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services y, a continuación, elija Quitar. En Confirmar eliminación elija Sí.

    2. Seleccione la entrada http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt y luego elija Quitar. En Confirmar eliminación elija Sí.

    3. Seleccione la entrada file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt y luego elija Quitar. En Confirmar eliminación elija Sí.

11. En Especificar ubicaciones desde las que los usuarios pueden obtener el certificado para esta CA elija Agregar. Se abrirá el cuadro de diálogo Agregar ubicación.

12. En Agregar ubicación, en Ubicación, escriba http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt y, a continuación, elija Aceptar. Esto le devuelve al cuadro de diálogo de propiedades de la entidad de certificación.

13. En la pestaña Extensiones, seleccione Incluir en el AIA de certificados emitidos.

14. Cuando se le pregunte si desea reiniciar Servicios de certificados de Active Directory, elija No. Reiniciará el servicio más adelante.