CA服務器擴展信息中添加CRL，徹底解決Lync 2013共享PPT提示證書問題

LYNC 2013在部署好OWAS後，安裝上證書，還是會提示“來自服務器的證書存在問題，請聯繫您的支持團隊”。

對於這個問題很多人寫過博客怎麼操作，但大都寫得很籠統，沒有解釋清楚原理，如果按博文裏操作，很多不會成功。當然大家的解決思路都是正確的，只是在證書擴展信息裏添加外網可訪問的CRL（證書吊銷列表）下載地址過程不夠詳細，有很多需要注意的地方沒有寫清楚，我們現在再重新詳細做一遍。

打開證書頒發機構――在CA上右鍵――屬性

點開擴展――添加

這個地方一定要特別注意，很多人不正常就是這裏弄錯了。在這裏輸入一個外網可以訪問到的地址，然後在後面插入<CaName><CRLNameSuffix><DeltaCRLAllowed>，再在最後加上.crl

輸完全後就是像這樣：http://www.xxx.com/crld/<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl

注意：

1，crld是你最後需要在IIS上添加的虛擬目錄，要和這個名字相同，絕對不能錯。

2，後面三個變量一定要點下面的“變量”下拉列表框選擇，然後點“插入”千萬不能手動輸入，否則無效。

添加好外部地址後，選擇這條外部地址，然後勾上“包括在CRL中，客戶端用它來增量CRL的位置”和“包含在頒發的證書的CDP擴展中”2條。

外網地址添加完後，我們需要再添加一條放置這個CRL的本地文件夾，到時候上一步IIS中的crld虛擬目錄的物理路徑需要指向這個文件夾。

同樣的<CaName><CRLNameSuffix><DeltaCRLAllowed>三個變量名也必須點“插入”，不能自己手動輸，再在最後加上.crl。

添加好後，選中這條本地地址，然後勾上下面的“發佈CRL到此位置”和“將增量DRL發佈到此位置”就行了。

外網地址和內網地址添加完成後點確定，證書頒發服務會重啓，這時證書頒發服務器這邊就配置好了。然後去發佈這個地址的服務器上，如我這裏的OWA服務器。

在d盤根目錄下新建一個文件夾“crldist”就是上一步在CA擴展信息中添加的本地路徑中的文件夾，保持文件夾名稱一致，然後共享――給Everyone讀取/寫入的權限，並且保證在證書服務器上運行裏輸\\mail\crldist可以正常訪問到。如果在證書服務器上訪問這個文件夾需要輸密碼，記得必須要勾上“記住憑據”，否則以後系統自動發佈會失敗，因爲沒有權限寫入到這個文件夾。

 

再在打開“高級共享”添加Everyone完全控制權限。

打開IIS――添加虛擬目錄crld

添加好後，點擊crld虛擬目錄，然後點右邊的“SSL設置”，取消“要求SSL”的勾，點最右邊“應用”

虛擬目錄發佈完成，再去CA證書服務器上，發佈CRL

按默認選項，不用修改，點確定，發佈

如果沒有什麼錯誤提示彈出來，說明發布成功了，我們再驗證一下。打開“運行”輸入之前建立的本地文件夾路徑\\mail\crldist，看到CRL已經正常發佈到這個文件夾裏了。

如果在上面添加內、外地址的時候變量不是通過插入，而是自己手動輸入的話，在申請證書後包含的CRL路徑後面的CRL文件名就是錯誤的、亂碼，這是沒辦法訪問的，所以就不會生效，也就一樣會出現訪問不到CRL。

正常的應該是這樣：

這個CRL文件名也就是證書頒發服務器上的CRL名字

驗證CRL有沒有添加成功、生效的方法：

重新申請一張證書，然後打開證書，查看擴展信息裏包含的外部CRL下載地址，複製出來，打開瀏覽器，輸入這個外網地址，要是能正常下載到CRL，那麼配置就是成功的。否則就不行。

下載――打開

可以看到，能正常下載、打開查看到CRL信息，給證書頒發機構擴展信息添加CRL地址成功。

或者把證書複製到外部，然後打開CMD，輸入certutil –verify e:\tool\edge.cer。驗證成功

現在再打開驗證OWAS服務器場配置，https://owas.xxx.com.cn/hosting/discovery，可以看到直接打開了，沒有再提示證書問題。

再去共享PPT試試，完全正常了。

 

 

 

這是不能發佈CA服務器80端口，外網也沒辦法直接訪問到CA情況下的解決方法，

如果可以直接發佈CA服務器的80端口到外網，並且外網可以直接訪問到CA服務器，那事情就更簡單了。

打開CA擴展屬性，選擇下圖的http://<ServerDNSNmae>項目，然後勾下下面的“包括在CRL中”和“包含在頒發的證書的CDP擴展中”，然後重新發布一下吊銷列表CRL就行了。