當您完成線上回應的設定後,確認是否可以自動註冊憑證、撤銷憑證以及從線上回應取得精確的撤銷資料,以驗證它的運作是否正常。
您必須是憑證授權單位 (CA) 系統管理員,才能完成此程序。如需管理公開金鑰基礎結構 (PKI) 的相關資訊,請參閱實作以角色為基礎的管理。
驗證線上回應運作是否正常 |
在 CA,設定數個憑證範本供電腦和使用者自動註冊。
將新的憑證範本發佈至 Active Directory 網域服務 (AD DS) 後,在用戶端電腦開啟命令提示字元,輸入下列命令以啟動憑證自動註冊:
certutil -pulse
附註 將新憑證的相關資訊複製到所有網域控制站可能需要數小時。
在用戶端電腦上,使用 [憑證] 嵌入式管理單元來驗證已發行新憑證。如果尚未發行憑證,請重複步驟 2。您還可以重新啟動用戶端電腦來啟動憑證自動註冊。
在 CA 上使用 [憑證授權單位] 嵌入式管理單元可以檢視及撤銷一或多個已發行的憑證,方法是按一下 [憑證授權單位 (電腦)\CA 名稱\已發行的憑證],然後選取您要撤銷的憑證。在 [執行] 功能表中指向 [所有工作],然後按一下 [撤銷憑證]。選取撤銷憑證的原因,然後按一下 [是]。
在 [憑證授權單位] 嵌入式管理單元中,按一下主控台樹狀目錄中的 [憑證授權單位 (電腦)\CA 名稱\已撤銷的憑證],可以發佈新的憑證撤銷清單 (CRL)。接著,在 [執行] 功能表中指向 [所有工作],然後按一下 [發佈]。
在用戶端電腦上,使用 [憑證] 嵌入式管理單元來匯出某個已發行的憑證並儲存成 X.509 檔案。
開啟命令提示字元,並輸入下列命令:
certutil –url <exportedcert.cer>
在 [URL 抓取工具] 對話方塊,選取 [OCSP (來自 AIA)],然後按一下 [抓取]。抓取 CRL 後,狀態將顯示為 [已確認]。