我有一个 Active Directory 域,其中有一个企业根证书颁发机构;该域使用私有域名(“domain.local”),我们还有一个公共域名(“domain.com”)。该域包含以下服务器:
- dc1.domain.local(域控制器)
- dc2.domain.local(域控制器)
- ca.domain.local(证书颁发机构)
- exchange.domain.local(Exchange 2010)
- fw.domain.local(TMG 2010 防火墙)
防火墙有两个网络接口,一个是私有的,一个是公共的,还有一堆公共 IP 地址;它也是内部网络的默认网关。它使用公共名称“mail.domain.com”发布 Exchange 服务器的 Web 服务,并且还充当 SSTP VPN 服务器,使用公共名称“vpn.domain.com”。所有涉及的证书均由内部 CA 颁发。这没问题,因为所有使用该域服务的计算机都应该信任内部 CA 的证书。
我需要发布内部 CA 的证书吊销列表,否则 Windows SSTP VPN 客户端会抱怨无法检查它(我知道可以使用注册表项修复此问题,但很难进行全局管理)。
我已经颁发了包含两个名称“ca.domain.local”和“ca.domain.com”的证书,我在 CA 的 IIS 和 TMG 防火墙上对其进行了配置,并且我已经使用公共 URL 发布了内部 CA 的网站https://ca.domain.com。
但问题在于:我如何告诉 CA 在其证书中写下其 CRL 可以在 找到http://ca.domain.com/SomePath,而不是在http://ca.domain.local/SomePath,这是默认配置?
而且:由于此信息嵌入在每个颁发的证书中,如果我更改它,是否需要重新颁发它们,以便检查它们的人知道可以在哪里找到他们的 CRL?
答案1
您需要通过证书颁发机构管理单元修改 CA 的 CRL 位置。右键单击 CA,选择“属性”,然后选择“扩展”选项卡。选择“CRL 分发点”扩展并添加所需的位置。
完整说明位于 Technet 上:http://technet.microsoft.com/en-us/library/ee649168(WS.10).aspx
不幸的是,CRL 路径与已颁发的证书“绑定”,因此如果您已经拥有之前颁发的证书,则需要重新颁发。只需创建一个取代旧证书模板的新证书模板,并将您的机器配置为自动注册即可。