嗨，这个问题问得很实在，尤其是在搭建两层PKI架构的时候——答案是完全可以在CAPolicy.inf的[AuthorityInformationAccess]和[CRLDistributionPoint]段中使用动态值！

你提到的两种写法都是有效的，我来给你拆解下：

1. 用%数字形式的占位符 #

像你写的：

[CRLDistributionPoint]
URL="http://pki.mycompany.tld/%3%8%9.crl"

这里的%3、%8、%9是微软PKI系统内置的变量占位符，对应含义分别是：

• %3：CA的公用名称（Common Name）
• %8：CRL名称后缀（比如配置了Delta CRL时，会自动带上标识后缀）
• %9：Delta CRL的专属标识符（仅当生成Delta CRL时才会填充，普通CRL则为空）

2. 用<变量名>形式的宏 #

另一种更直观的写法：

[CRLDistributionPoint]
URL="http://pki.mycompany.tld/<CAName><CRLNameSuffix><DeltaCRLAllowed>.crl"

这些尖括号包裹的宏也是官方支持的，和上面的数字占位符一一对应：

• <CAName>：自动替换为CA的名称，等同于%3
• <CRLNameSuffix>：对应CRL的后缀标识，等同于%8
• <DeltaCRLAllowed>：启用Delta CRL时会自动添加相关标记，等同于%9

关于两层PKI的配置补充 #

确实微软官方文档在这块的细节说明比较零散，很多都是实际部署中总结的经验。在两层PKI架构里，用这些动态变量能帮你统一配置模板：

• 根CA（通常离线）的CDP/AIA可以指向离线存储路径，同时配置在线的备用路径
• 子CA（在线运行）的CDP/AIA直接指向在线Web服务器路径，用动态变量自动适配CA名称和CRL类型，不用手动修改每个CA的配置

这样能大幅减少配置错误，也方便后续的CRL管理和证书分发。

备注：内容来源于stack exchange，提问作者artomason