手动发布 CRL 时拒绝访问
Access Denied When Manually Publishing A CRL
我最近构建了一个两层 PKI 基础结构。此基础架构由名为 xxxx-ROOTCA 的离线根 CA 和名为 xsxx-SUBCA1 的在线企业 CA 组成。
服务器 xxxx-SUBCA1 还配置了一个内部网站,我想将 CRL 发布到该网站。
我在测试期间颁发了一些证书,现在我想撤销这些证书。当我手动发布 CRL 时,收到以下错误消息:访问被拒绝。 0x80070005 (WIN32: 5 ERROR_ACCESS-DENIED)
在尝试找到此问题的解决方案时,我遇到了一些资源,这些资源声明必须为 CA 的计算机帐户授予对要发布 CRL 列表的共享的额外权限。我进入了共享(位于 xxxx-SUBCA1 上的 D:\pki)并赋予 xxxx-SUBCA1$ 计算机帐户完全控制共享权限和完全控制 NTFS 权限。我还确保计算机帐户对 c:\windows\system32\certsrv\certenroll.
具有相同级别的共享和 NTFS 权限
如果有人能帮我找出我做错了什么,将不胜感激。
此致,
NTD_1313
您需要授予 Cert Publisher 组对您在 Web 服务器上的共享的写入权限。
另外,请注意(除非这是实验室环境)您的 Web 服务器不应与 CA 在同一个盒子上。
我最近构建了一个两层 PKI 基础结构。此基础架构由名为 xxxx-ROOTCA 的离线根 CA 和名为 xsxx-SUBCA1 的在线企业 CA 组成。
服务器 xxxx-SUBCA1 还配置了一个内部网站,我想将 CRL 发布到该网站。
我在测试期间颁发了一些证书,现在我想撤销这些证书。当我手动发布 CRL 时,收到以下错误消息:访问被拒绝。 0x80070005 (WIN32: 5 ERROR_ACCESS-DENIED)
在尝试找到此问题的解决方案时,我遇到了一些资源,这些资源声明必须为 CA 的计算机帐户授予对要发布 CRL 列表的共享的额外权限。我进入了共享(位于 xxxx-SUBCA1 上的 D:\pki)并赋予 xxxx-SUBCA1$ 计算机帐户完全控制共享权限和完全控制 NTFS 权限。我还确保计算机帐户对 c:\windows\system32\certsrv\certenroll.
具有相同级别的共享和 NTFS 权限如果有人能帮我找出我做错了什么,将不胜感激。
此致,
NTD_1313
您需要授予 Cert Publisher 组对您在 Web 服务器上的共享的写入权限。
另外,请注意(除非这是实验室环境)您的 Web 服务器不应与 CA 在同一个盒子上。