告别VPN：带你进入内网世界（一）

　　8. 配置CRL（Certificate Revocation List）发布设置

　　打开【证书颁发机构】，点击【contoso-DC1-DA】服务器属性，在【扩展】选项卡中【CRL分发点（CDP）】，添加新的分发点，位置输入【http://crl.contoso.com/crld/】,变量分别添加【<CAName>】【<CRLNameSuffix>】【<DeltaCRLAllowed>】，结尾处添加【.crl】，确定即可。（图18）

　　选中刚创建好的分发点，勾选【包括在CRL中。客户端用它来寻找增量CRL的位置】和【包含在颁发的证书的CDP扩展中】。（图19）

　　再次点击【添加】，用来说明CRL的列表位置。【位置】输入【\\da1\crldist$\】此处为DA1中的隐藏共享文件夹，变量名依然勾选【<CAName>】【<CRLNameSuffix>】【<DeltaCRLAllowed>】，结尾处添加【.crl】。（图20）

　　确定后，针对当前分发点勾选【发布CRL到此为止】和【发布增量CRL到此位置】（图21）

此时，CRL扩展设定完成，确定后将会重启AD证书服务。

　　小贴士：关于为什么要设置CRL分发点。

　　DirectAccess 服务器为通过 IP-HTTPS 的连接使用的证书。由于 DirectAccess 客户端对 DirectAccess 服务器提交的 HTTPS 证书执行证书吊销检查，因此必须确保可通过 Internet 访问在此证书中配置的证书吊销列表 (CRL) 分发点。如果 DirectAccess 客户端无法访问这些 CRL 分发点，则基于 IP-HTTPS 的 DirectAccess 连接的身份验证会失败。有关为 Active Directory 证书服务 (AD CS) 配置 CRL 分发点的信息，请参阅"指定 CRL 分发点"(http://go.microsoft.com/fwlink/?LinkId=145848)。

　　9. 启用自动注册计算机证书

　　再次打开组策略编辑器，编辑【DA Policy】，依次展开【计算机配置】-【策略】-【Windows 设置】-【安全设置】-【公钥策略】-【自动证书申请设置】-右击【新建】-【自动证书申请】，证书模板选择【计算机】即可。（图22）

　　至此，DC环境准备已经完成，下一篇，将继续介绍DA、网络位置服务器及客户端的环境准备，敬请关注。