可以使用以下步骤在颁发的证书中添加、删除或修改证书吊销列表 (CRL) 分发点。但是修改 CRL 分发点的 URL 仅会影响新颁发的证书。以前颁发的证书将继续引用原始位置。
您必须是证书颁发机构 (CA) 管理员才能完成此过程。有关详细信息,请参阅实现基于角色的管理。
在颁发的证书中指定 CRL 分发点的步骤 |
打开“证书颁发机构”管理单元。
在控制台树中,单击 CA 的名称。
在“操作”菜单上,单击“属性”,然后单击“扩展”选项卡。请确认“选择扩展”设置为“CRL 分发点(CDP)”。
执行以下一项或多项操作。(CRL 分发点列表位于“指定用户可以获取证书吊销列表(CRL)的位置”框中。)
添加新的 CRL 分发点的步骤
单击“添加”,键入新的 CRL 分发点的名称,然后单击“确定”。
从列表中删除 CRL 分发点的步骤
单击 CRL 分发点,单击“删除”,然后单击“确定”。
指明希望使用 URL 作为 CRL 分发点的步骤
单击 CRL 分发点,选中“包含在颁发的证书的 CDP 扩展中”复选框,然后单击“确定”。
指明不希望使用 URL 作为 CRL 分发点的步骤
单击 CRL 分发点,清除“包含在颁发的证书的 CDP 扩展中”复选框,然后单击“确定”。
指明希望使用 URL 作为增量 CRL 分发点的步骤
单击 CRL 分发点,选中“将增量 CRL 发布到此位置”复选框,然后单击“确定”。
指明不希望使用 URL 作为增量 CRL 分发点的步骤
单击 CRL 分发点,清除“将增量 CRL 发布到此位置”复选框,然后单击“确定”。
指明希望在 CRL 中发布此位置以将客户端指向增量 CRL 的步骤
单击 CRL 分发点,选中“包括在 CRL 中。客户端用它来寻找增量 CRL 的位置”复选框,然后单击“确定”。
指明不希望在 CRL 中发布此位置以将客户端指向增量 CRL 的步骤
单击 CRL 分发点,清除“包括在 CRL 中。客户端用它来寻找增量 CRL 的位置”复选框,然后单击“确定”。
单击“是”以停止和重新启动 Active Directory 证书服务 (AD CS)。
CRL 的 URL 可以是 HTTP、FTP、LDAP 或 FILE 地址。在指定 CRL 的地址时可以使用下列变量。
变量 | 值 |
---|---|
CAName |
CA 的名称 |
CAObjectClass |
CA 的对象类标识符,在发布到 LDAP URL 时使用 |
CATruncatedName |
CA 的“净化”名称,被截断为 32 个字符,末尾有哈希代码 |
CDPObjectClass |
CRL 分发点的对象类标识符,在发布到 LDAP URL 时使用 |
CertificateName |
CA 的续订扩展名 |
ConfigurationContainer |
Active Directory 域服务 (AD DS) 中“配置”容器的位置 |
CRLNameSuffix |
在将 CRL 发布到文件或 URL 位置时在文件名末尾插入名称后缀 |
DeltaCRLAllowed |
在发布增量 CRL 时,它将 CRLNameSuffix 变量替换为一个单独的后缀,以便区分增量 CRL 与 CRL |
ServerDNSName |
CA 服务器的 DNS 名称 |
ServerShortName |
CA 服务器的 NetBIOS 名称 |