我目前正在“原型化”具有 AD CS 角色的 Windows PKI。我有两层层次结构(根离线 CA -> 企业子 CA -> 数字证书)。
此外,我正在尝试将我的根 CA 的 CRL 发布到网络驱动器。让我解释一下我的设置:
我有一个域控制器 (DCVS01),为域服务foonet.local
。此外,我还有一个位于域中的 Windows Server 2019 (WS01)。此服务器运行 IIS 并共享文件夹wwwroot\CertEnroll
,并以此创建网络共享。我拥有的最后一台服务器是 Windows Server (WS02),它未加入域,并且还为根脱机 CA 安装了 AD CS。
我目前正在为 WS02(根 CA)配置 CRL。我已使用以下命令正确安装了网络驱动器:
net use Z: \\IP_ADDRESS\CertEnroll /persistent:yes /user:service.crlshare PASSWORD
(我在域中创建了一个名为的服务帐户service.crlshare
)
我已经测试过了,我可以写入、读取,没有任何问题。IIS 服务器也可以访问。当我尝试将网络共享添加到 CRL 设置以进行发布时,它不起作用。以下是我尝试过的所有分发点/路径:
Z:\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
file://\\IP_ADDRESS\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
\\IP_ADDRESS\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
尝试发布后,我收到以下错误:The directory name is invalid. 0x8007010b (WIN32/HTTP: 267 ERROR_DIRECTORY)
除了不同的 CDP 之外,我还尝试了以下方法:
- 确保权限正确(WS02 可以读取和写入网络驱动器)
- 确保网络驱动器已安装,这样安装后就不需要身份验证
- 检查WS01(service.crlshare)的权限是否有读取和修改的权限
- 检查 WS01 是否可访问(网络方面),WS02 是否可访问
- Web 服务器 (IIS) 正确提供文件
是否可以按照我的想法发布它?我找不到我的设置中的任何错误。提前感谢你的帮助
答案1
您可以使用 WINRM 复制文件来绕过此问题。
它比 SMB 更安全,您还可以管理您使用的凭据,并且您可以使用检测事件 ID 4872 的计划任务触发复制过程。此事件表示已发布新的 crl 文件。