CA證書問題請教!最近在客戶這里做Exchange2010及RMS項目,對當前Ca證書頒發機構的環境做了下勘察和調研,發現有些地方出現警號顯示過期,不知道會不會影響Exchange和Adrms的集成部署,特此求教!
Ca情況如下圖:(這個CDP位置過期會不會影響我項目的項目,如果影響,有什么解決方案嗎?)
回答: 根據您的描述我了解到您有關於CA的問題需要和我們一起討論。
根據您提供的信息,我發現CDP位置#1在2013/01/24日會過期。關於CDP位置,它顯示的是可以下載最新的CRL的位置。一般它會顯示即將過期是因為CRL即將過期,從截圖來看,DeltaCRL 位置#1確實是在2013/01/24日會過期。
我們都知道CRL包含的是撤銷的證書的信息,如果這個過期的話,會有一些安全隱患,比如說某張證書過期了,由於CRL沒有更新,這張證書還會被繼續使用,從而有可能造成信息泄露。如果您的Exchange和Adrms會用到即將過期的證書,那么部署可能就會有問題。
為了解決這個問題,請您進行以下操作:您看到的文章來自活動目錄seo http://adirectory.blog.com/category/system-network-administration/
- 將Root CA啟動,使其處於online狀態,這樣的話,正常情況下CRL會自動更新的。
- 如果CRL沒有自動更新。如果CRL沒有自動更新,也就是說到了2013/01/24 4:04的時候,CDP位置#1和DeltaCRL 位置#1都過期了,我們可以手動將CRL更新。具體操作如下:
- 在root CA上面運行命令去更新CRL:Certutil –CRL。
- 這樣的話新的CRL會被發布,文件默認保存在:C:\Windows\System32\CertSrv\CertEnroll目錄,文件名字類似:RootCaName.Crl。
- 將此CRL文件復制到issuing CA,也就是您發現問題的這台服務器上的相同目錄C:\Windows\System32\CertSrv\CertEnroll。
- 然后運行以下命令將信息發布到AD:Certutil -dspublish RootCaName.Crl。
- 然后重啟證書服務看問題是否得到解決。
一般情況下我們在企業PKI有三層,root CA, policy CA和issuing CA,root CA配置好之后出於安全的角度,我們是推薦將它offline的。當然您也可以只有兩層結構root CA和issuing CA,一層結構root CA(同時也是issuing CA)。以下文檔供您參考:
Designing and Implementing a PKI: Part I Design and Planning
目前我不清楚您的環境中具體部署是什么樣的,如果當前這台服務器不是root CA,那么我建議您將root CA服務器啟動,我們說的啟動指的是將電腦啟動使其處於運行狀態。
Darlene Li