CA服务器扩展信息中添加CRL,彻底解决Lync 2013共享PPT提示证书问题

最新推荐文章于 2025-04-02 09:58:31 发布
转载 最新推荐文章于 2025-04-02 09:58:31 发布 · 1.1k 阅读 · 1

本文详细介绍了如何通过在CA服务器扩展信息中添加CRL,解决Lync2013在部署OWAS后仍提示证书问题的情况。通过正确配置内外网CRL地址,确保证书吊销列表的正确发布,从而避免Lync共享PPT时出现的证书警告。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

CA服务器扩展信息中添加CRL,彻底解决Lync 2013共享PPT提示证书问题

de3206人评论1830人阅读2013-07-27 16:27:35

LYNC 2013在部署好OWAS后,安装上证书,还是会提示“来自服务器的证书存在问题,请联系您的支持团队”。

clip_p_w_picpath002[2]

对于这个问题很多人写过博客怎么操作,但大都写得很笼统,没有解释清楚原理,如果按博文里操作,很多不会成功。当然大家的解决思路都是正确的,只是在证书扩展信息里添加外网可访问的CRL(证书吊销列表)下载地址过程不够详细,有很多需要注意的地方没有写清楚,我们现在再重新详细做一遍。

打开证书颁发机构――在CA上右键――属性

clip_p_w_picpath003[1]

点开扩展――添加

clip_p_w_picpath004[1]

这个地方一定要特别注意,很多人不正常就是这里弄错了。在这里输入一个外网可以访问到的地址,然后在后面插入<CaName><CRLNameSuffix><DeltaCRLAllowed>,再在最后加上.crl

clip_p_w_picpath005[1]

输完全后就是像这样:http://www.xxx.com/crld/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

注意:

1,crld是你最后需要在IIS上添加的虚拟目录,要和这个名字相同,绝对不能错。

2,后面三个变量一定要点下面的“变量”下拉列表框选择,然后点“插入”千万不能手动输入,否则无效。

clip_p_w_picpath006[1]

添加好外部地址后,选择这条外部地址,然后勾上“包括在CRL中,客户端用它来增量CRL的位置”和“包含在颁发的证书的CDP扩展中”2条。

clip_p_w_picpath007[1]

外网地址添加完后,我们需要再添加一条放置这个CRL的本地文件夹,到时候上一步IIS中的crld虚拟目录的物理路径需要指向这个文件夹。

clip_p_w_picpath008[1]

同样的<CaName><CRLNameSuffix><DeltaCRLAllowed>三个变量名也必须点“插入”,不能自己手动输,再在最后加上.crl。

clip_p_w_picpath009[1]

添加好后,选中这条本地地址,然后勾上下面的“发布CRL到此位置”和“将增量DRL发布到此位置”就行了。

clip_p_w_picpath010[1]

外网地址和内网地址添加完成后点确定,证书颁发服务会重启,这时证书颁发服务器这边就配置好了。然后去发布这个地址的服务器上,如我这里的OWA服务器。

在d盘根目录下新建一个文件夹“crldist”就是上一步在CA扩展信息中添加的本地路径中的文件夹,保持文件夹名称一致,然后共享――给Everyone读取/写入的权限,并且保证在证书服务器上运行里输\\mail\crldist可以正常访问到。如果在证书服务器上访问这个文件夹需要输密码,记得必须要勾上“记住凭据”,否则以后系统自动发布会失败,因为没有权限写入到这个文件夹。

 clip_p_w_picpath012[1]

再在打开“高级共享”添加Everyone完全控制权限。

clip_p_w_picpath013[1]

打开IIS――添加虚拟目录crld

clip_p_w_picpath014[1]

clip_p_w_picpath015[1]

添加好后,点击crld虚拟目录,然后点右边的“SSL设置”,取消“要求SSL”的勾,点最右边“应用”

clip_p_w_picpath016[1]

虚拟目录发布完成,再去CA证书服务器上,发布CRL

clip_p_w_picpath017[1]

按默认选项,不用修改,点确定,发布

clip_p_w_picpath018[1]

如果没有什么错误提示弹出来,说明发布成功了,我们再验证一下。打开“运行”输入之前建立的本地文件夹路径\\mail\crldist,看到CRL已经正常发布到这个文件夹里了。

clip_p_w_picpath019[1]

如果在上面添加内、外地址的时候变量不是通过插入,而是自己手动输入的话,在申请证书后包含的CRL路径后面的CRL文件名就是错误的、乱码,这是没办法访问的,所以就不会生效,也就一样会出现访问不到CRL。

clip_p_w_picpath020[1]

正常的应该是这样:

clip_p_w_picpath021[1]

这个CRL文件名也就是证书颁发服务器上的CRL名字

clip_p_w_picpath022[1]

验证CRL有没有添加成功、生效的方法:

重新申请一张证书,然后打开证书,查看扩展信息里包含的外部CRL下载地址,复制出来,打开浏览器,输入这个外网地址,要是能正常下载到CRL,那么配置就是成功的。否则就不行。

clip_p_w_picpath021[2]

clip_p_w_picpath023[1]

下载――打开

clip_p_w_picpath024[1]

可以看到,能正常下载、打开查看到CRL信息,给证书颁发机构扩展信息添加CRL地址成功。

或者把证书复制到外部,然后打开CMD,输入certutil –verify e:\tool\edge.cer。验证成功

clip_p_w_picpath026[1]

现在再打开验证OWAS服务器场配置,https://owas.xxx.com.cn/hosting/discovery,可以看到直接打开了,没有再提示证书问题。

再去共享PPT试试,完全正常了。

clip_p_w_picpath028[1]

 

 

 

这是不能发布CA服务器80端口,外网也没办法直接访问到CA情况下的解决方法,

如果可以直接发布CA服务器的80端口到外网,并且外网可以直接访问到CA服务器,那事情就更简单了。

打开CA扩展属性,选择下图的http://<ServerDNSNmae>项目,然后勾下下面的“包括在CRL中”和“包含在颁发的证书的CDP扩展中”,然后重新发布一下吊销列表CRL就行了。

clip_p_w_picpath001

©著作权归作者所有:来自51CTO博客作者de320的原创作品,如需转载,请注明出处,否则将追究法律责任

关于CACRL
weixin_67900048的博客
04-28 705
2、可以打开Root CA在本机新发布的crl文件,确认有效期(本机路径默认是C:\windows\system32\certsrv\certenroll,如果更改过,可以通过CA properties中的Extensions Tab中查看。1、在验证Root CA颁发给Issuing CA证书时,涉及到下载Root CA颁发的吊销列表,因此当过了有效期后,Issuing CA证书无法验证通过,导致证书验证失败。然后,我们从根CA目录复制此文件并将其粘贴到颁发子 CA 的同一位置。
单机使用Openssl搭建CA并生成证书CRL(woindows、linux)
shuizhongmose的专栏
04-08 2722
参考文档:https://blog.youkuaiyun.com/miouqi/article/details/75268402 安装 windows去openssl官网下载安装包,然后将openssl的路径添加到环境变量PATH下面。 Linux安装可以参考:https://segmentfault.com/a/1190000016204693 准备(ubuntu在root权限) /...
证书添加CRL分布点以及授权信息访问
weixin_45041913的博客
02-24 366
使用openssl函数接口,为x509证书添加CRL分布点和授权信息访问两个拓展域
使用openssl自建CA完成证书签发和CRL管理
最新发布
l13651203083的博客
04-02 2011
使用openssl自建多级私有CA,完成用户证书签发和撤销等操作。
证书吊销列表 (CRL),并在 IIS 5.0 经常要求的问题
cp62的专栏
01-12 3535
Q 1: 什么是证书吊销列表 (CRL),以及 CRL 分发点 (CDP)? A 1: A CRL 是包含已吊销的证书、 它们的序列号和其吊销日期列表的文件。... loadTOCNode(1, moreinformation); Q 1: 什么是证书吊销列表 (CRL),以及 CRL 分发点 (CDP)? A 1: A CR
LyncServer2013边缘服务器部署.pdf
07-14
Lync Server 2010到2013的升级过程中,部署边缘服务器允许外部用户安全地连接到内部Lync网络,提供即时消息、音视频通话、会议以及Office Web Apps集成等功能。 首先,为了顺利部署边缘服务器,必须先卸载原有的...
Lync2013添加删除前端服务器
04-12
Lync2013添加删除前端服务器
lync2013_快速入门
04-22
微软Lync 2013是一款办公通讯软件,它允许用户进行即时消息交流、语音呼叫、视频会议、会议组织以及快速信息共享等操作。本文档主要介绍了如何使用Lync 2013进行日常工作中的基本通讯功能,并提供了一些快速入门的...
Microsoft Lync 2013 Unified Communications
02-23
Microsoft Lync 2013是一个统一沟通(Unified Communications,简称UC)解决方案,旨在通过集成电子邮件、即时消息、电话(包括视频电话)和在线会议等通信方式,提供企业级的协作平台。通过Lync 2013,用户能够跨越...
Lync Server 2013边缘服务器部署.pdf
10-30
通过以上步骤,我们可以成功地在Lync Server 2013环境中部署边缘服务器,不仅解决了外部访问的问题,还提升了会议功能,实现了更高效的内外部沟通。这对于提升企业的沟通效率和协作能力具有重要意义。
证书CRL详解
05-01
详细介绍了证书CRL的各扩展释义,有助于加深对证书的了解
数字证书的相关专业名词(中)---根证书CRL,以及java中CRL的获取和验证方法
qq_44005305的博客
04-11 1442
上篇文章我们主要了解了PKI中的数字证书和PKCS,这篇文章我们主要了解一下根证书,以及OCSP和CRL。从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。干货主要有:①1000+CTF历届题库(主流和经典的应该都有了)
CA证书
笔落_惊风雨的博客
12-31 8674
如果有两种选择,其中一种将导致灾难,则必定有人会作出这种选择。即:做事不要有侥幸心理。
CA证书签发系统 PCI认证 CA公私钥生成 CSR证书签发 CRL吊销证书 吊销证书列表 子CA公私钥生成 子CA作为根CA CA等注入到设备 加密机HSM openssl远程密钥注入RKI
chenhao0568的专栏
04-24 506
操作方法:环境: java jre 11win10点【启动.bat】运行。
X.509 协议:V3版证书编码、解码规则解析
yhl4k的博客
03-31 1669
X.509 协议:V3版证书编码、解码规则解析 ---By HengLiang Yang 2000.07.06 一、证书格式(待签名部分) 1、版本号 V3 Version 2、序列号 ...
CRL证书
Lime的博客
08-08 2486
Unknown CRL reason (7) Unknown CRL reason (9) AA_COMPROMISE AFFILIATION_CHANGED 附属关系已更改 (3) CA_COMPROMISE CA 泄漏 (2) CERTIFICATE_HOLD 证书挂起 (6) CESSATION_OF_OPERATION 停止操作 (5) KEY_COMPRO
什么是证书吊销列表(CRL)? 吊销列表起什么作用 ?
weixin_33720956的博客
01-23 1208
答:证书吊销列表 (Certificate Revocation List ,简称: CRL) 是 PKI 系统中的一个结构化数据文件,该文件包含了证书颁发机构 (CA) 已经吊销的证书的序列号及其吊销日期。 CRL 文件中还包含证书颁发机构信息、吊销列表失效时间和下一次更新时间,以及采用的签名算法等。证书吊销列表最短的有效期为一个小时,一般为 1 天,甚至一个月不等,由各个...
Lync 2013:企业统一通信与协作的全面解决方案
3. 多媒体共享:在会议中,用户能够共享PPT、白板、文档、Web应用程序、视频等多种内容,便于知识交流和协作。 4. 无缝集成:Lync与Office套件的深度集成使得工作流程更加顺畅,无需额外开发或付费,即可在各种环境...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值