CA证书问题请教!最近在客户这里做Exchange2010及RMS项目,对当前Ca证书颁发机构的环境做了下勘察和调研,发现有些地方出现警号显示过期,不知道会不会影响Exchange和Adrms的集成部署,特此求教!
Ca情况如下图:(这个CDP位置过期会不会影响我项目的项目,如果影响,有什么解决方案吗?)
回答: 根据您的描述我了解到您有关于CA的问题需要和我们一起讨论。
根据您提供的信息,我发现CDP位置#1在2013/01/24日会过期。关于CDP位置,它显示的是可以下载最新的CRL的位置。一般它会显示即将过期是因为CRL即将过期,从截图来看,DeltaCRL 位置#1确实是在2013/01/24日会过期。
我们都知道CRL包含的是撤销的证书的信息,如果这个过期的话,会有一些安全隐患,比如说某张证书过期了,由于CRL没有更新,这张证书还会被继续使用,从而有可能造成信息泄露。如果您的Exchange和Adrms会用到即将过期的证书,那么部署可能就会有问题。
为了解决这个问题,请您进行以下操作:您看到的文章来自活动目录seo http://adirectory.blog.com/category/system-network-administration/
- 将Root CA启动,使其处于online状态,这样的话,正常情况下CRL会自动更新的。
- 如果CRL没有自动更新。如果CRL没有自动更新,也就是说到了2013/01/24 4:04的时候,CDP位置#1和DeltaCRL 位置#1都过期了,我们可以手动将CRL更新。具体操作如下:
- 在root CA上面运行命令去更新CRL:Certutil –CRL。
- 这样的话新的CRL会被发布,文件默认保存在:C:\Windows\System32\CertSrv\CertEnroll目录,文件名字类似:RootCaName.Crl。
- 将此CRL文件复制到issuing CA,也就是您发现问题的这台服务器上的相同目录C:\Windows\System32\CertSrv\CertEnroll。
- 然后运行以下命令将信息发布到AD:Certutil -dspublish RootCaName.Crl。
- 然后重启证书服务看问题是否得到解决。
一般情况下我们在企业PKI有三层,root CA, policy CA和issuing CA,root CA配置好之后出于安全的角度,我们是推荐将它offline的。当然您也可以只有两层结构root CA和issuing CA,一层结构root CA(同时也是issuing CA)。以下文档供您参考:
Designing and Implementing a PKI: Part I Design and Planning
http://blogs.technet.com/b/askds/archive/2009/09/01/designing-and-implementing-a-pki-part-i-design-and-planning.aspx
目前我不清楚您的环境中具体部署是什么样的,如果当前这台服务器不是root CA,那么我建议您将root CA服务器启动,我们说的启动指的是将电脑启动使其处于运行状态。
Darlene Li