你可以使用此过程配置 Web 服务器 WEB1 以分发 CRL。
在根 CA 的扩展中,声称可通过 https://pki.corp.contoso.com/pki 使用根 CA 中的 CRL。 目前,WEB1 上没有 PKI 虚拟目录,所以必须创建一个。
若要执行此过程,你必须是 域管理员的成员。
Note
在以下过程中,将用户帐户名称、Web 服务器名称、文件夹名称和位置以及其他值替换为适合部署的值。
配置 WEB1 以分发证书和 CRL
在 WEB1 上,以管理员身份运行 Windows PowerShell,键入
explorer c:\,然后按 Enter。 Windows 资源管理器打开到驱动器 C。在 C: 驱动器上创建名为 PKI 的新文件夹。 为此,请单击“ 开始”,然后单击“ 新建文件夹”。 创建一个新文件夹,其中突出显示了临时名称。 键入 pki ,然后按 Enter。
在 Windows 资源管理器中,右键单击刚刚创建的文件夹,将鼠标光标悬停在 “共享”上,然后单击“ 特定人员”。 此时将打开“ 文件共享 ”对话框。
在 文件共享中,键入 证书发布者,然后单击“ 添加”。 Cert Publishers 组将添加到列表中。 在列表中,在 “权限级别”中,单击 证书发布者旁边的箭头,然后单击“ 读/写”。 单击“ 共享”,然后单击“ 完成”。
关闭 Windows 资源管理器。
打开 IIS 控制台。 在服务器管理器中,单击 “工具”,然后单击“ Internet Information Services”(IIS)管理器。
在 Internet Information Services (IIS) 管理器控制台树中,展开 WEB1。 如果受邀开始使用 Microsoft Web 平台,请单击“ 取消”。
展开 “站点 ”,然后右键单击 “默认网站 ”,然后单击“ 添加虚拟目录”。
在 “别名”中,键入 pki。 在 物理路径 类型 C:\pki 中,然后单击“ 确定”。
启用对 pki 虚拟目录的匿名访问,以便任何客户端都可以检查 CA 证书和 CRL 的有效性。 为此,请执行以下操作:
在 “连接 ”窗格中,确保已选择 pki 。
在 pki 主页 上,单击“ 身份验证”。
在“操作”窗格中,单击“编辑权限”。
在“ 安全 ”选项卡上,单击“ 编辑”
在 “pki 权限” 对话框中,单击 “添加”。
在“选择用户、计算机、服务帐户或组”中,键入“ANONYMOUS LOGON; Everyone”,然后单击“检查名称”。 单击 “确定” 。
在“选择用户、计算机、服务帐户或组”对话框中单击“确定”。
单击“pki 的权限”对话框上的“确定”。
单击“pki 属性”对话框上的“确定”。
在 “pki 主页 ”窗格中,双击“ 请求筛选”。
默认情况下,在 “请求过滤” 窗格中选择 “文件扩展名” 选项卡。 在 “操作” 窗格中,单击 “编辑功能设置”。
在 “编辑请求过滤设置”中,选择 “允许双重转义” ,然后单击 “确定”。
在 Internet Information Services (IIS) Manager MMC 中,单击 Web 服务器名称。 例如,如果 Web 服务器名为 WEB1,请单击 “WEB1”。
在 操作中,单击 重启。 停止然后重新启动 Internet 服务。