在安装完标准证书服务器后,为了简化示例的步骤,可以将标准证书服务器,配置成“自动颁发申请的证书”,以及为了让客户端计算机,验证证书服务器的吊销列表,需要单独添加证书吊销列表位置。其步骤如下:
1)进入“服务器管理器”,定位到“角色→Active Directory证书服务→heuet”处,用鼠标右击,从弹出的快捷菜单中选择“属性”选项,如图2-4-50所示。
2)在“扩展”选项卡,在“选择扩展”下拉列表中选择“CRL分发点(CDP)”,单击“添加”按钮,如图2-4-51所示。
图2-4-50 证书属性选项
图2-4-51 添加CRL分发点(CDP)
3)在添加证书吊销列表的时候,需要知道证书吊销列表的位置与证书吊销列表文件。打开“Internet信息服务管理器”,在Default Web Site中,其虚拟目录为“CertEnroll”,证书吊销列表文件是证书的名称(单击“内容视图”可以看到网站文件),如图2-4-52所示。
4)在本例中,证书服务器的外网地址是222.30.214.172,证书服务器的名称是heuet,证书吊销列表的扩展名是crl,则添加的位置为http://222.30.214.172/certenroll/heuet.crl。为了添加的时候不至于出错,可以打开“Internet信息服务管理器”的“DCSER\网站\DefaultWeb Site\CertEnroll”内容视图来查看,将将窗口排列到图2-4-53的方式添加,这样填写的时候就比较容易了。
图2-4-52 证书吊销列表的位置及文件
图2-4-53 添加CRL分发点的各个设置窗口
5)添加完成之后,选中“包括在CRL中”“包含在颁发的证书的CDP扩展中”“包括在己发布的CRL的IDP扩展中”3个选项,如图2-4-54所示。
【说明】如果你要将该证书发布到Internet(例如通过防火墙发布到Internet),最后是再添加一个CRL分发点,并用发布到Internet的域名来代替IP地址,例如类似http://dcser.heuet.com/certenroll/heuet.crl的格式;如果你的证书服务器只在局域网中并且,并且可能会经常修改服务器的IP地址,可以用证书服务器的计算机名称(本示例为dcser.hevet.com)为代替IP地址。
6)添加完CDP后,在“选择扩展”下拉列表中选择“颁发机构信息访问(AIA)”,单击“添加”按钮,添加安全证书,本例为http://222.30.214.172/certenroll/dcser.heuet.com_heuet.crt,如图2-4-55所示。之后再将基于域名的证书即http://dcser.heuet.com/certenroll/dcser.heuet.com_heuet.crt添加到列表中。(www.xing528.com)
图2-4-54 设置证书发布属性
图2-4-55 添加安全证书
7)添加完成后,选中“包含在颁发的证书的AIA扩展中”“包括在联机证书状态协议(OCSP)扩展中”选项,如图2-4-56所示。
【说明】同样的情况,如果证书服务器要发布到Internet使用,还是用域名来代替IP地址。
8)在“策略模块”中,单击“属性”按钮,在弹出的“属性”对话框中,选中“如果可以的话,按照证书模板中的设置。否则,将自动颁发证书”选项,这样,用户申请的证书将会自动颁发,如图2-4-57所示。设置完成之后,单击“确定”按钮。
图2-4-56 设置证书发布属性
图2-4-57 设置自动颁发证书
【说明】在示例或学习中,为了简化操作步骤,让大家尽快入门,才设置自动颁发证书。在商业使用中,或者在安全性要求较高的地方,最好是保持默认值:让管理员手动颁发每一个申请的证书。
9)配置了证书后,需要让证书服务重新启动才能生效,如图2-4-58所示。
图2-4-58 重启让证书服务生效
免责声明:以上内容源自网络,版权归原作者所有,如有侵犯您的原创版权请告知,我们将尽快删除相关内容。
