我已经安装了一个新的服务器并安装了远程访问和证书颁发机构服务,所以我可以将其configuration为VPN。 我已经通过http://localhost/certsvr
创build了自己的证书,并已导入到“受信任的证书库”中。
我的VPN的工作原理,但只有当我通过registry禁用客户端撤销检查,我发现我的证书的CRL不存在。 我的证书的名称是dcom-dc01.dcomproductions.com
,但是当我在IIS中检查CertEnroll文件夹时,CRL没有列出。 只有在证书颁发机构设置期间创build的原始CRL( DCOM-DC01-CA
)。 我试图做Actions -> Publish
但它仍然不会发布CRL。
我怎样才能纠正这一点?
我的CRL分发点configuration为:
C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass> file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl
EXTERNALIP
当然是服务器可公开访问的IP。 我唯一改变的是HTTP,因为我的理解是,这是客户端检查CRL的地方。
首先你在http地址中有2个额外的“/”,它应该是:
http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
其次,需要在VPN 3rd上发布另一个在IIS(AND)中使用的证书,在IIS上需要打开80端口