如何將憑證CRL發佈到其他IIS Server

 

如何將CRL發佈到其他IIS Server

1. 在IIS Server上面新增一個資料夾,如C:\CRL,並將其設定共用,設定成所有人可以完全控制此目錄
(共用 & 安全性都要設定)
clip_image001clip_image002

2. 在IIS上面的預設網站上新增一個虛擬目錄,並取名為CRL且指向C:\CRL資料夾
clip_image003clip_image004 clip_image005

3. 設定成Read即可
clip_image006

4. 設定完成後回到CA Server上面打開管理介面,並對Server名稱點右鍵 – Properties,並在Extensions底下點選Add
clip_image008clip_image009

5. 在Location輸入 file://\\IISservername\CRL\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl , 然後按OK
clip_image011

6. 選擇剛剛新建的CDP並勾選 Publish CRLs to this location & Publish Delta CRLs to this location兩個選項
clip_image013

7. 在次按下Add,並在location輸入 https://xxx.xxx.com/crl/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl , 輸入完按下OK

(PS:此時輸入的網址是要外部User可以連接到的才可以)
clip_image015

8. 勾選下面兩個選項並按OK讓其套用 (請按Yes讓它重起服務)
clip_image017

9. 回到CA的管理畫面後,對Revoked Certificate點右鍵 - All Tasks – Publish , 並選擇New CRL後按下OK
clip_image019clip_image021

10. 此時去檢查IIS Server的C:\CRL資料夾內,應該會類似下圖的結果
clip_image023

11. 於Client端確認是否可以正常存取該CRL即可(上述環境是https://www.srv2003.com/crl/srv2003ca(2).crl)