CA服务器扩展信息中添加CRL，彻底解决Lync 2013共享PPT提示证书问题

LYNC 2013在部署好OWAS后，安装上证书，还是会提示“来自服务器的证书存在问题，请联系您的支持团队”。

对于这个问题很多人写过博客怎么操作，但大都写得很笼统，没有解释清楚原理，如果按博文里操作，很多不会成功。当然大家的解决思路都是正确的，只是在证书扩展信息里添加外网可访问的CRL（证书吊销列表）下载地址过程不够详细，有很多需要注意的地方没有写清楚，我们现在再重新详细做一遍。

打开证书颁发机构――在CA上右键――属性

点开扩展――添加

这个地方一定要特别注意，很多人不正常就是这里弄错了。在这里输入一个外网可以访问到的地址，然后在后面插入，再在最后加上.crl

输完全后就是像这样：http://www.xxx.com/crld/.crl

注意：

1，crld是你最后需要在IIS上添加的虚拟目录，要和这个名字相同，绝对不能错。

2，后面三个变量一定要点下面的“变量”下拉列表框选择，然后点“插入”千万不能手动输入，否则无效。

添加好外部地址后，选择这条外部地址，然后勾上“包括在CRL中，客户端用它来增量CRL的位置”和“包含在颁发的证书的CDP扩展中”2条。

外网地址添加完后，我们需要再添加一条放置这个CRL的本地文件夹，到时候上一步IIS中的crld虚拟目录的物理路径需要指向这个文件夹。

同样的三个变量名也必须点“插入”，不能自己手动输，再在最后加上.crl。

添加好后，选中这条本地地址，然后勾上下面的“发布CRL到此位置”和“将增量DRL发布到此位置”就行了。

外网地址和内网地址添加完成后点确定，证书颁发服务会重启，这时证书颁发服务器这边就配置好了。然后去发布这个地址的服务器上，如我这里的OWA服务器。

在d盘根目录下新建一个文件夹“crldist”就是上一步在CA扩展信息中添加的本地路径中的文件夹，保持文件夹名称一致，然后共享――给Everyone读取/写入的权限，并且保证在证书服务器上运行里输\\mail\crldist可以正常访问到。如果在证书服务器上访问这个文件夹需要输密码，记得必须要勾上“记住凭据”，否则以后系统自动发布会失败，因为没有权限写入到这个文件夹。

 

再在打开“高级共享”添加Everyone完全控制权限。

打开IIS――添加虚拟目录crld

添加好后，点击crld虚拟目录，然后点右边的“SSL设置”，取消“要求SSL”的勾，点最右边“应用”

虚拟目录发布完成，再去CA证书服务器上，发布CRL

按默认选项，不用修改，点确定，发布

如果没有什么错误提示弹出来，说明发布成功了，我们再验证一下。打开“运行”输入之前建立的本地文件夹路径\\mail\crldist，看到CRL已经正常发布到这个文件夹里了。

如果在上面添加内、外地址的时候变量不是通过插入，而是自己手动输入的话，在申请证书后包含的CRL路径后面的CRL文件名就是错误的、乱码，这是没办法访问的，所以就不会生效，也就一样会出现访问不到CRL。

正常的应该是这样：

这个CRL文件名也就是证书颁发服务器上的CRL名字

验证CRL有没有添加成功、生效的方法：

重新申请一张证书，然后打开证书，查看扩展信息里包含的外部CRL下载地址，复制出来，打开浏览器，输入这个外网地址，要是能正常下载到CRL，那么配置就是成功的。否则就不行。

下载――打开

可以看到，能正常下载、打开查看到CRL信息，给证书颁发机构扩展信息添加CRL地址成功。

或者把证书复制到外部，然后打开CMD，输入certutil –verify e:\tool\edge.cer。验证成功

现在再打开验证OWAS服务器场配置，https://owas.xxx.com.cn/hosting/discovery，可以看到直接打开了，没有再提示证书问题。

再去共享PPT试试，完全正常了。

 

 

 

这是不能发布CA服务器80端口，外网也没办法直接访问到CA情况下的解决方法，

如果可以直接发布CA服务器的80端口到外网，并且外网可以直接访问到CA服务器，那事情就更简单了。

打开CA扩展属性，选择下图的http://项目，然后勾下下面的“包括在CRL中”和“包含在颁发的证书的CDP扩展中”，然后重新发布一下吊销列表CRL就行了。