Windows 证书颁发机构服务器

Windows 证书颁发机构服务器

运行 Windows 的 Microsoft PKI 的默认安装包括 LDAP URL,它是 CRL 分发点 (CDP) 和授权信息访问 (AIA) 中的第一个。

问题 1:

我想从我的 Windows 证书颁发机构服务器向 Cisco DNA 设备颁发证书,但希望我的 HTTP 类型 CRL 作为证书的第一个部分,内部 LDAP URL 作为 CDP 和 AIA 扩展中的第二个部分

问题2 :

我想从我的 Windows 证书颁发机构服务器向 Cisco DNA 设备颁发证书,但只希望证书中包含 HTTP 类型的 CRL,并删除 CDP 和 AIA 扩展中的内部 LDAP URL

请告诉我,这种配置是否可以使用 Windows 证书颁发机构颁发的证书?

答案1

是的,两种方法都可以。但请注意,这些是服务器范围的设置,因此所有颁发的证书的值都是相同的。

该设置位于 CA 的属性中,在扩展下。但是,您无法从那里重新排序它们,除非删除它们并按所需顺序添加它们。但是,您可以很容易地删除不需要的行。

在注册表中找到设置(当然在备份之后)然后在那里重新排序可能更容易。查看以下内容:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<CA Name>\

您将找到CACertPublicationURLsCRLPublicationURLs。两者都是多字符串(多行字符串)。要么重新排序,要么删除不需要的条目,确保最后一行是空白行。完成后,重新启动 CA 服务。

请注意,Microsoft 建议不要对 CRL 和 CA 证书(AIA)使用 LDAP,因此如果您想遵循他们的建议,只需在 GUI 或注册表中删除 LDAP 行。

相关内容