Расположение проблем PKI в Enterprise PKI mmc

Question

Я выполнил "продление сертификата" в одной из моих подсекций Enterprise, и она полностью испортила мои результаты по Enterprise PKI в MMC. В оснастке центра сертификации теперь есть два сертификата (сертификат № 0 и № 1). AIA (ldap) показывает «Невозможно загрузить» с «оригинальным CN =». Расположение CDP (ldap) имеет (1), как и DeltaCRL. Каждый раз, когда я возобновляю отзыв, он создает как crl исходного сертификата, так и a (1). CDP / DeltaCRL (http) также показывают, что «невозможно загрузить», даже если файлы существуют в каталоге. Единственное местоположение AIA, которое показывает OK - это местоположение http.

Мне нужно избавиться от старого сертификата CA (# 0), я повторно вытолкну новый через GPO, как только все это будет решено. Я попытался удалить AIA с помощью ADSIEdit, а затем повторно опубликовать его с помощью «certutil -dspublish», но это дает мне ошибку 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER). Попытка подключиться к Конфигурации конкретного CA через ADSIEdit говорит, что «сервер не работает». В ADSIEdit CN = CDP есть несколько записей: обычный «CA», «CA-1» и «CA-1 (1)».

Это в нашей "тестовой" среде (к счастью), но мне нужно разобраться в правильном процессе, так как я должен сделать это в двух других лесах. На самом деле я испытываю желание просто полностью перестроить новый ЦС в других зонах вместо того, чтобы бороться со всем этим. Все, что я пытаюсь сделать, это заново выдать сертификат subCA, заставить его работать правильно и сообщить о работоспособности в Enterprise PKI!

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration \ OMNI, TST-CERTAUTH-01-CA-1 \ CRLPublicationURLs:

CRLPublicationURLs REG_MULTI_SZ = 0: 65: C: \ windows \ system32 \ CertSrv \ CertEnroll \% 3% 8% 9.crl CSURL_SERVERPUBLISH - 1 CSURL_SERVERPUBLISHDELTA - 40 (64)

1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
CSURL_SERVERPUBLISH -- 1
CSURL_ADDTOCERTCDP -- 2
CSURL_ADDTOFRESHESTCRL -- 4
CSURL_ADDTOCRLCDP -- 8
CSURL_SERVERPUBLISHDELTA -- 40 (64)

2: 134:http://pki.omni.phish/CertEnroll/%3%4%9.crl
CSURL_ADDTOCERTCDP -- 2
CSURL_ADDTOFRESHESTCRL -- 4
CSURL_ADDTOIDP -- 80 (128)

HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration \ OMNI, TST-CERTAUTH-01-CA-1 \ CACertPublicationURLs:

CACertPublicationURLs REG_MULTI_SZ = 0: 1: C: \ Windows \ system32 \ CertSrv \ CertEnroll \% 1_% 3% 4.crt CSURL_SERVERPUBLISH - 1

1: 3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
CSURL_SERVERPUBLISH -- 1
CSURL_ADDTOCERTCDP -- 2

2: 32:http://%1/ocsp
CSURL_ADDTOCERTOCSP -- 20 (32)

3: 32:http://pki.omni.phish/oscp
CSURL_ADDTOCERTOCSP -- 20 (32)

4: 2:http://pki.omni.phish/CertEnroll/%3.crt
CSURL_ADDTOCERTCDP -- 2

Answer 1

CRLPublicationURLs

Во-первых, вы публикуетесь на локальный диск ( C: \ Windows \ System32 \ CertSrv \ CertEnroll \% 3% 8% 9.crl ) но больше нигде.Теперь у вас может быть ручной процесс загрузки этого CRL в CDP, и в этом случае это нормально.В противном случае вам нужно добавить еще один URL (например, 65: file: // \\ [server] \ [share] \% 3% 8% 9.crl , где [server] - ваш CDP и[share] является общим ресурсом для каталога, содержащего ваши CRL), так что новые CRL автоматически публикуются в CDP СА.

2-й, вы используете CDP http://pki.omni.phish//CertEnroll/%3%4%9.crl. % 4 должно быть % 8 .

Когда вы обновляете сертификат CA, вам нужно, чтобы исходный сертификат CA и CRL оставались доступными, чтобы все конечные объекты, которые былиранее выданные сертификаты еще работают.Центры сертификации Microsoft делают это, добавляя (1) к имени CRL, непосредственно перед расширением .crl для 1-го заменяющего сертификата ( Certificate # 1 в MMC) и (2) для следующего обновления и так далее.Это настраивается с помощью % 8 в разделе реестра CRLPublicationURLs .

CAPublicationURLs

Вы добавляете URL-адрес всертификат CA как http://pki.omni.phish/CertEnroll/%3.crt. Вам необходимо добавить % 4 после % 3 .

% 4 аналогично тому, что % 8 делает для CRL.Без него имя сертификата CA остается прежним.

---

Существует три способа исправить это:

1. Вы можете использовать MMC - в разделе Extensions в диалоговом окне CA Properties .Однако работать с ней очень неуклюже.
2. Вы можете использовать команду certutil -setreg, но вам нужно перезаписать все настройки - вы не можете редактировать одну строку.
3. Вы можете редактироватьнепосредственно в реестре по адресу HKLM\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\[CA Name]

Я считаю, что последнее является самым простым.

Могу ли я предложить некоторые изменения PKI и Microsoft ADCS, прежде чем вы коснетесь производства?: -)