將 WEB1 設定為發佈憑證撤銷清單 (CRL)
您可以使用此程式來設定 Web 服務器 WEB1 來散發 CRL。
在根 CA 的擴充功能中,指出來自根 CA 的 CRL 可透過 https://pki.corp.contoso.com/pki 取得。 目前 APP1 上沒有 PKI 虛擬目錄,因此必須建立一個。
您必須是 Domain Admins 群組的成員,才可以執行此程序。
注意
在下列程式中,將使用者帳戶名稱、Web 服務器名稱、資料夾名稱和位置,以及其他適合您部署的值取代為。
設定 APP1 以發佈憑證與 CRL
在 WEB1 上,以系統管理員身分執行 Windows PowerShell,輸入
explorer c:\,然後按 ENTER。 Windows 檔案總管隨即開啟以磁碟機 C。在 C: 磁碟機上建立名為 PKI 的新資料夾。 若要這樣做,請按一下 [首頁],然後按一下 [新增資料夾]。 系統會建立新的資料夾,並醒目提示暫存名稱。 鍵入 pki,然後按 ENTER 鍵。
在 Windows 檔案總管中,以滑鼠右鍵按一下您剛才建立的資料夾,將滑鼠游標停留在 [共用] 上方,然後按一下 [特定人員]。 [檔案共用] 對話方塊隨即開啟。
在 [檔案共用] 中,輸入 Cert Publishers,然後按一下 [新增]。 憑證發行者群組會新增至清單。 在清單中,在 [權限等級] 中,按一下 [憑證發行者] 旁的箭號,然後按一下 [讀取/寫入]。 按一下 [共用],然後按一下 [完成]。
開啟 Windows 檔案總管。
開啟 IIS 主控台。 在 [伺服器管理員] 按一下 [工具] ,然後按一下 [Internet Information Services (IIS) 管理員] 。
在 [Internet Information Services (IIS) 管理員] 主控台樹狀目錄中,展開 [WEB1] 。 如果系統邀請您開始使用 Microsoft Web Platform,請按一下 [取消] 。
展開 [站台] 後,以滑鼠右鍵按一下 [Default Web Site] ,然後按一下 [新增虛擬目錄] 。
在 [別名] 中輸入 pki。 在 [實體路徑] 輸入 C:\pki 中,然後按一下 [確定]。
啟用 pki 虛擬目錄的匿名存取,讓任何用戶端都可以檢查 CA 憑證和 CRL 的有效性。 若要這麼做︰
在 [連線] 窗格中,確認已選取 [pki]。
在 [pki 首頁] 中,按一下 [驗證] 。
在 [動作] 窗格中,按一下 [編輯權限] 。
在 [安全性] 索引標籤上,按一下 [編輯]
在 [pki 的權限] 對話方塊上,按一下 [新增] 。
在 [選取使用者、電腦、服務帳戶或群組] 中,輸入 ANONYMOUS LOGON; Everyone 並按一下 [檢查名稱]。 按一下 [確定]。
在 [選取使用者、電腦、服務帳戶或群組] 對話方塊中,按一下 [確定]。
在 [pki 權限] 對話方塊中,按一下 [確定]。
在 [pki 屬性] 對話方塊中,按一下 [確定]。
在 [pki 首頁] 窗格中,按兩下 [要求篩選] 。
在 [要求篩選] 窗格中,預設會選取 [副檔名] 索引標籤。 在 [動作] 窗格中,按一下 [編輯功能設定] 。
在 [編輯要求篩選設定] 中,選取 [允許雙重逸出] ,然後按一下 [確定] 。
在 Internet Information Services (IIS) 管理員 MMC 中,按一下您的 Web 伺服器名稱。 例如,如果您的 Web 伺服器名為 WEB1,請按一下 [WEB1]。
在 [動作] 中,按一下 [重新開機]。 網際網路服務會停止,然後重新開機。