У меня есть домен Active Directory с корневым центром сертификации предприятия; домен использует частное доменное имя («domain.local»), и у нас также есть публичное доменное имя («domain.com»). Домен содержит следующие серверы:
Межсетевой экран имеет два сетевых интерфейса, частный и общедоступный, а также несколько общедоступных IP-адресов; это также шлюз по умолчанию для внутренней сети. Он публикует веб-службы сервера Exchange, используя публичное имя mail.domain.com, а также действует как сервер SSTP VPN с публичным именем vpn.domain.com. Все задействованные сертификаты были выпущены внутренним центром сертификации. Это нормально, потому что все компьютеры, которые когда-либо будут использовать услуги этого домена, должны доверять сертификатам внутреннего центра сертификации.
Мне нужно опубликовать список отзыва сертификатов внутреннего ЦС, потому что в противном случае клиент Windows SSTP VPN жалуется на то, что не может его проверить (я знаю, что это можно исправить с помощью ключа реестра, но с этим трудно справиться глобально).
Я выпустил сертификат, содержащий два имени «ca.domain.local» и «ca.domain.com», я настроил его в IIS CA и на брандмауэре TMG, и я опубликовал веб-сайт внутреннего CA с общедоступным URL https://ca.domain.com
.
Но вот загвоздка: как я могу сказать ЦС записать в своих сертификатах, что его CRL можно найти по адресу http://ca.domain.com/SomePath
, кроме http://ca.domain.local/SomePath
, какая конфигурация по умолчанию?
А также: поскольку эта информация встроена в каждый выданный сертификат, если я ее изменю, мне нужно будет повторно выпустить их, чтобы тот, кто их проверяет, знал, где можно найти их CRL?
Вам нужно будет изменить расположение списков отзыва сертификатов вашего центра сертификации через оснастку центра сертификации. Щелкните правой кнопкой мыши центр сертификации, выберите «Свойства», затем вкладку «Расширения». Выберите расширение «Точка распространения CRL» и добавьте необходимые расположения.
Полная инструкция находится на Technet: http://technet.microsoft.com/en-us/library/ee649168(WS.10).aspx
К сожалению, пути CRL «привязаны» к выпущенным сертификатам, поэтому, если у вас уже есть сертификаты, которые были выпущены ранее, их нужно будет переиздать. Просто создайте новый шаблон сертификата, который заменяет старый, и настройте свои машины на автоматическую регистрацию.