Назад | Перейти на главную страницу

Как мне вручную опубликовать CRL для сертификата?

Я установил новый сервер и установил службы удаленного доступа и центра сертификации, чтобы настроить его как VPN. Я создал свой сертификат через http://localhost/certsvr, и импортированы в хранилище доверенных сертификатов.

Мой VPN работает, но только если я отключу проверку отзыва на клиенте через реестр, и я обнаружил, что CRL для моего сертификата не существует. Название моего сертификата dcom-dc01.dcomproductions.com, но когда я проверяю папку CertEnroll в IIS, CRL для нее не отображается. Существует только CRL для оригинала, созданного во время установки центра сертификации (DCOM-DC01-CA). Я пытался сделать Actions -> Publish но он по-прежнему не публикует CRL.

Как я могу это исправить?

Мои точки распространения CRL настроены на:

C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl

куда EXTERNALIP это, конечно, общедоступный IP-адрес сервера. Единственное, что я изменил, это HTTP, потому что я понимаю, что именно здесь клиенты проверяют CRL.

Сначала у вас есть два дополнительных символа "/" в http-адресе, это должно быть:

http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

Во-вторых, вам нужно выпустить другой сертификат, который будет использоваться в вашем IIS (И) в VPN. 3-й, вам нужно, чтобы порт 80 был открыт на вашем IIS.