In the last part of this series of articles, we will look at the publication of certificates and revocation lists via HTTP.
Part 1 and part 2 can be found here:
https://www.frankysweb.de/server-20082012-pki-installieren-teil-1/
https://www.frankysweb.de/server-20082012-pki-installieren-teil-2/
First create a new share on the server that will later deliver the revocation lists and certificates via HTTP. I called the share CADATA in the last articles. The computer account of the sub-CA requires write permissions in the directory.
Jetzt kann die Sperrliste der Sub-CA veröffentlicht werden. Dazu mit der rechten Maustaste auf „Gesperrte Zertifikate“ –> „Alle Aufagen“ –> „Veröffentlichen“ klicken
![image_thumb[3]](https://www.frankysweb.de/wp-content/uploads/2014/09/image_thumb3.png "image_thumb[3]")
Now the certificate of the root CA and its revocation list and the certificate of the sub-CA must be copied to the directory. The files can be found under C:\Windows\System32\CertSrv\CertEnroll. We should now have 5 files in the CADATA directory.
The IIS web server can now be installed so that the revocation lists and certificates can be accessed via HTTP
The IIS can be installed in the default configuration using the server manager. As soon as the web server is installed, a new virtual directory can be added to the default website in the IIS Manager
Als Alias wird „cert“ gewählt und der Pfad entspricht dem Pfad von CADATA:
Wenn das Verzeichnis erstellt wurde, wird es markiert und auf „Anforderungsfilterung“ geklickt
Und dann rechts auf „Featureeinstellungen bearbeiten“
Dann den Haken bei „Doppelte Escapezeichen zulassen“ setzen
Almost finished. Now create a new Host-A entry in the DNS server with the name CA and the corresponding IP. In my case it is ca.frankysweb.de with the IP 192.168.5.1.
Done.
In der Konsole „pkiview.msc“ sollte jetzt alles in Ordnung sein:
Falls es nicht der Fall sein sollte und noch Fehler auftauchen, dann sperrt in der Sub-CA die „CAExchange“ Zertifikate und lasst pkiview erneut durchlaufen:
