web-dev-qa-db-ja.com

証明書のCRLを手動で公開するにはどうすればよいですか?

新しいサーバーをセットアップし、リモートアクセスおよび認証局サービスをインストールして、VPNとして構成できるようにしました。 http://localhost/certsvrを使用して独自の証明書を作成し、信頼できる証明書ストアにインポートしました。

VPNは機能しますが、レジストリを介してクライアントの失効チェックを無効にした場合にのみ、証明書のCRLが存在しないことがわかりました。証明書の名前はdcom-dc01.dcomproductions.comですが、IISのCertEnrollフォルダーを確認すると、そのCRLはリストされていません。認証局のセットアップ中に作成されたオリジナルのCRLのみが存在します。 (DCOM-DC01-CA)。Actions -> Publishを実行しようとしましたが、それでもCRLが公開されません。

どうすればこれを修正できますか?

私のCRL配布ポイントは次のように構成されています。

C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl

EXTERNALIPはもちろん、サーバーのパブリックアクセス可能なIPです。私が変更したのはHTTPだけでした。これは、クライアントがCRLをチェックする場所であると理解しているためです。

1
David Anderson

まず、httpアドレスに2つの余分な「/」があります。次のようになります。

http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

次に、VPN3番目のIIS(AND))で使用する別の証明書を発行する必要があります。IISでポート80を開く必要があります。

1
wit1