После завершения установки сетевого ответчика можно проверить правильность его работы: возможность выполнения автоматической подачи заявок на сертификаты, отзыва сертификатов и обеспечения доступности данных отзыва с сетевого ответчика.
Чтобы выполнить эту процедуру, необходимо быть администратором центра сертификации. Дополнительные сведения об администрировании инфраструктуры открытого ключа (PKI) см. в разделе Реализация ролевого администрирования.
Чтобы проверить правильность работы сетевого ответчика |
В центре сертификации настройте несколько шаблонов сертификатов для автоматической подачи запросов на сертификаты компьютерами и пользователями.
После публикации новых шаблонов сертификатов в доменных службах Active Directory откройте окно командной строки на клиентском компьютере и введите следующую команду, чтобы запустить автоматическую подачу заявки на сертификат:
certutil -pulse
Примечание Репликация сведений о новых сертификатах на всех контроллерах домена может занять несколько часов.
С помощью оснастки «Сертификаты» на клиентском компьютере проверьте, выданы ли новые сертификаты. Если сертификаты не выданы, повторите шаг 2. Также можно перезагрузить клиентский компьютер для запуска автоматической подачи заявки на сертификаты.
На компьютере ЦС с помощью оснастки «Центр сертификации» просмотрите и отзовите один или несколько выданных сертификатов. Для этого перейдите по разделам Центр сертификации (компьютер)/Имя ЦС/Выпущенные сертификаты и выберите сертификаты, которые требуется отозвать. В меню Действие выделите пункт Все задачи, а затем выберите команду Отзыв сертификата. Выберите причину отзыва сертификата и нажмите кнопку Да.
В оснастке «Центр сертификации» опубликуйте новый список отзыва сертификатов (CRL). Для этого перейдите в папку Центр сертификации (компьютер)/Имя ЦС/Отозванные сертификаты в дереве консоли. Затем выделите меню Действие пункт Все задачи и выберите команду Публикация.
На клиентском компьютере воспользуйтесь оснасткой «Сертификаты», чтобы экспортировать выпущенный сертификат в файл с расширением X.509.
Откройте командную строку и введите следующую команду:
certutil –url <exportedcert.cer>
В диалоговом окне Инструмент извлечения URL-адресов выберите OCSP (от AIA) и нажмите кнопку Загрузить. После получения списка отзыва сертификатов в поле состояния отобразится значение Проверено.