将 CA 证书和 CRL 复制到虚拟目录

• 适用于:

  ✅ Windows Server 2025, ✅ Windows Server 2022, ✅ Windows Server 2019, ✅ Windows Server 2016

可使用此过程将证书吊销列表和企业根 CA 证书从证书颁发机构复制到 Web 服务器上的虚拟目录，并确保正确配置 AD CS。 在运行以下命令之前，请确保将目录和服务器名称替换为适合部署的名称。

若要执行此过程，你必须是域管理员的成员。

将证书吊销列表从 CA1 复制到 WEB1

1. 在 CA1 上，以管理员身份运行 Windows PowerShell，然后使用以下命令发布 CRL：

   • 键入 certutil -crl，然后按 Enter。

   • 要将 CA1 证书复制到 Web 服务器上的文件共享，请键入 copy C:\Windows\system32\certsrv\certenroll\*.crt \\WEB1\pki，然后按 Enter。

   • 要将证书吊销列表复制到 Web 服务器上的文件共享，请键入 copy C:\Windows\system32\certsrv\certenroll\*.crl \\WEB1\pki，然后按 Enter。

2. 要验证 CDP 和 AIA 扩展位置是否已正确配置，请键入 pkiview.msc，然后按 Enter。 此时会打开 pkiview Enterprise PKI MMC。

3. 在左窗格中，单击 CA 名称。

   例如，如果 CA 名称为 corp-CA1-CA，则单击 corp-CA1-CA。

4. 在结果窗格的“状态”列中，验证以下值是否显示正常：

   • CA 证书
   • AIA 位置 #1
   • CDP 位置 #1

提示

如果有任何项的“状态”不正常，请执行以下操作：

• 打开 Web 服务器上的共享，验证证书和证书吊销列表文件是否已成功复制到共享。 如果它们未成功复制到共享，请使用正确的文件源和共享目标修改复制命令，然后再次运行这些命令。
• 验证是否已在“CA 扩展”选项卡上输入 CDP 和 AIA 的正确位置。确保所提供的位置中没有多余的空格或其他字符。
• 验证是否已将 CRL 和 CA 证书复制到 Web 服务器上的正确位置，以及该位置是否与你为 CA 上的 CDP 和 AIA 位置提供的位置匹配。
• 验证是否为存储 CA 证书和 CRL 的虚拟文件夹正确配置了相关权限。