我有一个Active Directory域,其中包含企业根证书颁发机构; 该域使用私有域名(“domain.local”),我们也有一个公共域名(“domain.com”)。 该域包含以下服务器:
防火墙有两个networking接口,一个是私有networking接口,另一个是公共networking接口,还有一堆公有IP地址; 它也是内部networking的默认网关。 它使用公共名称“mail.domain.com”发布Exchange服务器的Web服务,并使用公共名称“vpn.domain.com”充当SSTP VPN服务器。 所有涉及的证书都是从内部CA颁发的。 这是可以的,因为所有使用这个域的服务的计算机应该信任内部的CA证书。
我需要的是发布内部CA的证书撤销列表,否则Windows SSTP VPN客户端抱怨无法检查(我知道这可以使用registry项来解决,但是很难全局pipe理)。
我已经发布了包含两个名字“ca.domain.local”和“ca.domain.com”的证书,我已经在CA的IIS和TMG防火墙上configuration了它,并且已经发布了内部CA的网站与公共URL https://ca.domain.com 。
但是这里有一个问题:我如何告诉CA在其证书中写下可以在http://ca.domain.com/SomePathfindCRL,而不是http://ca.domain.local/SomePath ,这是默认configuration?
而且:由于这些信息都embedded到每个颁发的证书中,所以如果我改变它,我是否需要重新发布它们,以便检查他们的人知道他们的CRL可以在哪里find?
您将需要通过证书颁发机构pipe理单元修改您的CA的CRL位置。 右键单击CA,select“属性”,然后select“扩展”选项卡。 select“CRL分发点”扩展并添加所需的位置。
完整的说明位于Technet上: http ://technet.microsoft.com/en-us/library/ee649168(WS.10) .aspx
不幸的是,CRLpath与已发布的证书是“连接”的,所以如果你已经有了以前颁发过的证书,就需要重新发布。 只需创build一个新的证书模板,取代旧的证书模板,并configuration您的机器自动注册。