我最近建立了一个双层PKI基础架构。此基础结构由名为xxxx-ROOTCA的脱机根CA和名为xsxx-SUBCA1的在线企业CA组成。
服务器xxxx-SUBCA1上还配置了一个内部网站,我想将CRL发布到该网站。
我在测试期间发布了一些证书,我现在想要撤销。当我去手动发布CRL时,我收到以下错误消息:访问被拒绝。 0x80070005(WIN32:5 ERROR_ACCESS-DENIED)
在尝试找到此问题的解决方案时,我遇到了几个资源,指出CA的计算机帐户必须在要发布CRL列表的共享上获得其他权限。我已进入共享(位于D:\ pki on xxxx-SUBCA1)并获得xxxx-SUBCA1 $计算机帐户完全控制共享权限和完全控制NTFS权限。我还确保计算机帐户具有与c:\ windows \ system32 \ certsrv \ certenroll相同的共享级别和NTFS权限。
如果有人能帮助我弄清楚我在这里做错了什么,我们将不胜感激。
致以最诚挚的问候,
NTD_1313
答案 0 :(得分:2)
您需要在Web服务器上为您的共享授予 Cert Publisher 组写入权限。
另请注意(除非这是实验室环境),您的网络服务器不应与CA位于同一个框中。