完成了联机响应程序的安装之后,可以通过确认可以自动注册证书,吊销证书,以及在联机响应程序中提供准确的吊销数据,来验证联机响应程序是否正常运行。

您必须是证书颁发机构 (CA) 管理员才能完成此过程。有关管理公用基础机构 (PKI) 的详细信息,请参阅实现基于角色的管理

若要验证联机响应程序是否正常运行,请执行下列操作:
  1. 在 CA 上,配置多个证书模板,以供计算机和用户进行自动注册。

  2. 将新的证书模板发布到 Active Directory 域服务 (AD DS) 后,在客户端计算机上打开命令提示符,然后输入以下命令以启动证书自动注册:

    certutil -pulse

    注意

    将新证书的有关信息复制到所有域控制器可能需要几个小时。

  3. 在客户端计算机上,使用“证书”管理单元验证是否已颁发新证书。如果未颁发新证书,重复步骤 2。也可以重新启动客户端计算机以启动证书自动注册。

  4. 在 CA 上,使用“证书颁发机构”管理单元查看和吊销一个或多个已颁发的证书,方法是单击“证书颁发机构(计算机)\CA 名称\颁发的证书”,然后选择要吊销的证书。在“操作”菜单上,指向“所有任务”,然后单击“吊销证书”。选择吊销证书的原因,然后单击“是”

  5. 在“证书颁发机构”管理单元中,通过在控制台树中单击“证书颁发机构(计算机)\CA 名称\吊销的证书”,发布新的证书吊销列表 (CRL)。然后,在“操作”菜单上,指向“所有任务”,然后单击“发布”

  6. 在客户端计算机上,使用“证书”管理单元导出已颁发的证书之一,并将其保存为 X.509 文件。

  7. 打开命令提示符,键入以下命令:

    certutil –url <exportedcert.cer>

  8. “URL 检索工具”对话框中,选择“OCSP (来自 AIA)”,然后单击“检索”。检索到 CRL 后,状态将显示为“已验证”