在 CA1 上配置 CDP 和 AIA 扩展

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

可使用此过程在 CA1 上配置“证书吊销列表 (CRL) 分发点 (CDP)”和“授权信息访问 (AIA)”设置。

若要执行此过程，你必须是域管理员的成员。

在 CA1 上配置 CDP 和 AIA 扩展

1. 在服务器管理器中，单击 “工具” ，然后单击 “证书颁发机构”。

2. 在“证书颁发机构”控制台树中，右键单击 corp-CA1-CA，然后单击“属性”。

   注意

   如果未将计算机命名为 CA1，并且你的域名与本例中的域名不同，则 CA 的名称会有所不同。 CA 名称的格式为“domain-CAComputerName-CA”。

3. 单击“扩展”选项卡。确保将“选择扩展”设置为“CRL 分发点 (CDP)”，并在“指定用户可以获取证书吊销列表 (CRL) 的位置”中执行以下操作：

   1. 选择 file://\\<ServerDNSName>\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl 条目，然后单击“删除”。 在“确认删除”中，单击“是”。

   2. 选择 http://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl 条目，然后单击“删除”。 在“确认删除”中，单击“是”。

   3. 选择以路径 ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName> 开头的条目，然后单击“删除”。 在“确认删除”中，单击“是”。

4. 在“指定用户可以获取证书吊销列表 (CRL) 的位置”中，单击“添加”。 此时会打开“添加位置”对话框。

5. 在“添加位置”的“位置”中，键入 http://pki.corp.contoso.com/pki/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl，然后单击“确定”。 这将返回到“CA 属性”对话框。

6. 在“扩展”选项卡上，选中以下复选框：

   • 包含在 CRL 中。 客户端使用该值查找增量 CRL 的位置

   • 包含在已颁发的证书的 CDP 扩展

7. 在“指定用户可以获取证书吊销列表 (CRL) 的位置”中，单击“添加”。 此时会打开“添加位置”对话框。

8. 在“添加位置”的“位置”中，键入 file://\\pki.corp.contoso.com\pki\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl，然后单击“确定”。 这将返回到“CA 属性”对话框。

9. 在“扩展”选项卡上，选中以下复选框：

   • 将 CRL 发布到此位置

   • 将增量 CRL 发布到此位置

10. 将“选择扩展”更改为“授权信息访问 (AIA)”，并在“指定用户可以获取证书吊销列表 (CRL) 的位置”中执行以下操作：

    1. 选择以路径 ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services 开头的条目，然后单击“删除”。 在“确认删除”中，单击“是”。

    2. 选择 http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt 条目，然后单击“删除”。 在“确认删除”中，单击“是”。

    3. 选择 file://\\<ServerDNSName>\CertEnroll\<ServerDNSName><CaName><CertificateName>.crt 条目，然后单击“删除”。 在“确认删除”中，单击“是”。

11. 在“指定用户可以获取此 CA 证书的位置”中，单击“添加”。 此时会打开“添加位置”对话框。

12. 在“添加位置”的“位置”中，键入 http://pki.corp.contoso.com/pki/<ServerDNSName>_<CaName><CertificateName>.crt，然后单击“确定”。 这将返回到“CA 属性”对话框。

13. 在“扩展”选项卡上，选择“包含在已颁发证书的 AIA 中”。

14. 如果收到重启 Active Directory 证书服务的提示，则单击“否”。 稍后再重启该服务。