Настройка WEB1 для распространения списков отзыва сертификатов (CRLS)

• Применяется к:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

Эту процедуру можно использовать для настройки веб-сервера WEB1 для распространения crls.

В расширениях корневого ЦС было указано, что CRL из корневого ЦС будет доступен через https://pki.corp.contoso.com/pki. В настоящее время нет виртуального каталога PKI в WEB1, поэтому его необходимо создать.

Для выполнения этой процедуры необходимо быть членом администраторов домена.

Примечание.

В приведенной ниже процедуре замените имя учетной записи пользователя, имя веб-сервера, имена папок и расположения, а также другие значения, соответствующие развертыванию.

Настройка WEB1 для распространения сертификатов и списков отзыва сертификатов

1. В WEB1 запустите Windows PowerShell от имени администратора, введите explorer c:\и нажмите клавишу ВВОД. Обозреватель Windows открывается для диска C.

2. Создайте новую папку PKI на диске C:. Для этого нажмите кнопку "Главная" и нажмите кнопку "Создать папку". Новая папка создается с выделенным временным именем. Введите pki и нажмите клавишу ВВОД.

3. В проводнике Windows щелкните правой кнопкой мыши созданную папку, наведите указатель мыши на общий доступ, а затем щелкните "Определенные люди". Откроется диалоговое окно "Общий доступ к файлам ".

4. В разделе "Общий доступ к файлам" введите издатели сертификатов и нажмите кнопку "Добавить". Группа издателей сертификатов добавляется в список. В списке на уровне разрешений щелкните стрелку рядом с издателями сертификатов и нажмите кнопку "Чтение и запись". Нажмите кнопку "Общий доступ" и нажмите кнопку "Готово".

5. Закройте проводник Windows.

6. Откройте консоль IIS. В Диспетчере серверов щелкните Средстваи выберите Диспетчер Internet Information Services (IIS).

7. В дереве консоли диспетчера службы IIS (IIS) разверните узел WEB1. Если появится приглашение приступить к работе с веб-платформой Майкрософт, щелкните Отмена.

8. Разверните Сайты , щелкните правой кнопкой мыши Веб-сайт по умолчанию , затем щелкните Добавить виртуальный каталог.

9. В псевдониме введите pki. В типе "Физический путь" C:\pki нажмите кнопку "ОК".

10. Разрешите анонимный доступ к виртуальному каталогу инфраструктуры открытых ключей, чтобы любой клиент мог проверить срок действия сертификатов ЦС и списки отзыва сертификатов. Для этого:

    1. В области "Подключения" убедитесь, что выбран pki.

    2. В разделе Домашняя страница pki щелкните Проверка подлинности.

    3. В области Действия щелкните Изменение разрешений.

    4. На вкладке Безопасность щелкните Изменить.

    5. В диалоговом окне Разрешения для pki щелкните Добавить.

    6. В поле "Выбор пользователей", "Компьютеры", "Учетные записи служб" или "Группы" введите АНОНИМНЫЙ ВХОД; Все и нажмите кнопку "Проверить имена". Щелкните OK.

    7. Нажмите кнопку "ОК" в диалоговом окне "Выбор пользователей, компьютеров, учетных записей служб" или "Группы".

    8. Нажмите кнопку "ОК " в диалоговом окне "Разрешения" для PKI .

11. Нажмите кнопку "ОК " в диалоговом окне "Свойства pki".

12. В области Домашняя страница pki дважды щелкните Фильтрация запросов.

13. Вкладка Расширения имен файлов выбирается по умолчанию в области Фильтрация запросов . В области Действия щелкните Изменить параметры компонента.

14. Во вкладке Изменение параметров фильтрации запросоввыберите Разрешить двойное преобразование и нажмите кнопку OK.

15. В mmC диспетчера службы IIS (IIS) щелкните имя веб-сервера. Например, если веб-сервер называется WEB1, щелкните WEB1.

16. В разделе "Действия" нажмите кнопку " Перезапустить". Интернет-службы остановлены, а затем перезапущены.