Настройка CDP / AIA расширений в Certification Authority
Справочная информация для настройки CRL Distribution Point (CDP) / Authority Information Access (AIA) расширений в Certification Authority (CA).
 |
 |
Свойства публикации CRL и их соответствие опциям в оснастке certsrv.msc
| Hex | Dec | Имя | Название на странице Extensions |
| 1 | 1 | CSURL_SERVERPUBLISH | Publish CRLs to this location |
| 2 | 2 | CSURL_ADDTOCERTCDP | Include in the CDP extension of issued certificates |
| 4 | 4 | CSURL_ADDTOFRESHESTCRL | Include in CRLs. Clients use this to find Delta CRL locations. |
| 8 | 8 | CSURL_ADDTOCRLCDP | Include in all CRLs. Specifies where to publish in the Active Directory when publishing manually. |
| 10 | 16 | CSURL_PUBLISHRETRY | |
| 20 | 32 | CSURL_ADDTOCERTOCSP | |
| 40 | 64 | CSURL_SERVERPUBLISHDELTA | Publish Delta CRLs to this location |
| 80 | 128 | CSURL_ADDTOIDP | Include in the IDP extension of issued CRLs |
Таблица 1.
Узнать больше в technet: CRL Publishing Properties.
| Hex | Dec | Имя | Название на странице Extensions |
| 1 | 1 | CSURL_SERVERPUBLISH | |
| 2 | 2 | CSURL_ADDTOCERTCDP | Include in the AIA extension of issued certificates |
| 4 | 4 | CSURL_ADDTOFRESHESTCRL | |
| 8 | 8 | CSURL_ADDTOCRLCDP | |
| 10 | 16 | CSURL_PUBLISHRETRY | |
| 20 | 32 | CSURL_ADDTOCERTOCSP | Include in the online certificate status protocol (OCSP) extension |
| 40 | 64 | CSURL_SERVERPUBLISHDELTA | |
| 80 | 128 | CSURL_ADDTOIDP |
Таблица 2.
Узнать больше в technet: AIA Publishing Properties.
Примечание: цифры указанные в technet для AIA расширения неверны либо предназначены для других целей! В этом Вы можете убедится самостоятельно выполнив настройку AIA расширения через оснастку, и затем запросив настройки через certutil.exe.
Переменные используемые в ссылках CRL Distribution Point (CDP) / Authority Information Access (AIA) расширений
| В certutil | Token name в редакторе расширений CDP / AIA | Возможность использования |
| %1 | <ServerDNSName> | CDP / AIA |
| %2 | <ServerShortName> | CDP / AIA |
| %3 | <CaName> | CDP / AIA |
| %4 | <CertificateName> | CDP / AIA |
| %6 | <ConfigurationContainer> | CDP / AIA |
| %7 | <CATruncatedName> | CDP / AIA |
| %8 | <CRLNameSuffix> | CDP |
| %9 | <DeltaCRLAllowed> | CDP |
| %10 | <CDPObjectClass> | CDP |
| %11 | <CAObjectClass> | CDP / AIA |
Таблица 3.
Узнать больше в technet: CRL Distribution Point Replacement Token
Примечание: обратите внимание, что если certutil.exe будет вызываться из командного файла, то символ процента необходимо экранировать еще одним символом %. Например, вместо %1 в bat/cmd файле необходимо будет написать %%1.
Значения по умолчанию для расширений CRL Distribution Point (CDP) / Authority Information Access (AIA)
Смотрите статью: Certification Authority настройки по умолчанию для Windows Server 2008 R2 SP1.
Внесение изменений при помощи certutil
Пример внесения изменений в CDP:certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://%1/CertEnroll/%3%8%9.crl\n0:file://%1/CertEnroll/%3%8%9.crl"
Пример внесения изменений в AIA:certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt\n3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11\n2:http://%1/CertEnroll/%1_%3%4.crt\n0:file://%1/CertEnroll/%1_%3%4.crt\n32:http://%1/ocsp"
Пример внесения изменений в CDP из командного файла:
certutil -setreg CA\CRLPublicationURLs "65:C:\Windows\system32\CertSrv\CertEnroll\%%3%%8%%9.crl\n79:ldap:///CN=%%7%%8,CN=%%2,CN=CDP,CN=Public Key Services,CN=Services,%%6%%10\n6:http://%%1/CertEnroll/%%3%%8%%9.crl\n0:file://%%1/CertEnroll/%%3%%8%%9.crl"
Пример внесения изменений в AIA из командного файла:certutil -setreg CA\CACertPublicationURLs "1:C:\Windows\system32\CertSrv\CertEnroll\%%1_%%3%%4.crt\n3:ldap:///CN=%%7,CN=AIA,CN=Public Key Services,CN=Services,%%6%%11\n2:http://%%1/CertEnroll/%%1_%%3%%4.crt\n0:file://%%1/CertEnroll/%%1_%%3%%4.crt\n32:http://%%1/ocsp"
Пример разбора конфигурационной строки
Разберем конфигурационную строчку для CDP расширения:
"65:C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl\n79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10\n6:http://%1/CertEnroll/%3%8%9.crl\n0:file://%1/CertEnroll/%3%8%9.crl"
Она состоит из 4х строк разделенных символами \n:
| Свойства | Ссылка | |
| 0 | 65 | C:\Windows\system32\CertSrv\CertEnroll\%3%8%9.crl |
| 1 | 79 | ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10 |
| 2 | 6 | http://%1/CertEnroll/%3%8%9.crl |
| 3 | 0 | file://%1/CertEnroll/%3%8%9.crl |
Свойства это сумма значений выбранных свойств в таблицах 1 и 2. Макроподстановки в ссылках выполняются по правилам из таблицы 3.
