如何手动发布证书的CRL？

Question

我已经安装了一个新的服务器，并安装了远程访问和证书颁发机构服务，这样我就可以将它配置为VPN。我已通过http://localhost/certsvr创建了自己的证书，并已导入受信任的证书存储区。

我的VPN可以工作，但只有当我通过注册中心禁用客户端上的吊销检查时，我才发现我的证书的CRL不存在。我的证书的名称是dcom-dc01.dcomproductions.com，但是当我检查IIS文件夹时，没有列出它的CertEnroll文件夹。只有证书颁发机构安装过程中创建的原始CRL存在(DCOM-DC01-CA)。我试着做Actions -> Publish，但它仍然没有发布CRL。

我该怎么纠正呢？

我的CRL分发点被配置为：

C:\Windows\system32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public Key Services,CN=Services,<ConfigurationContainer><CDPObjectClass>
file://<ServerDNSName>/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
http://EXTERNALIP/CertEnroll/<CaName>/<CRLNameSuffix>/<DeltaCRLAllowed>.crl

当然，EXTERNALIP是服务器公开访问的IP。我唯一更改的是HTTP，因为我的理解是，这是客户机检查CRL的地方。

Answer 1

首先，您在http地址中有一个额外的"/“，它应该是：

http://EXTERNALIP/CertEnroll/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

第二，您需要发出另一个证书，以便在您的IIS (和)中使用VPN第三，您需要在您的IIS上打开端口80