Я выполнил "продление сертификата" в одной из моих подсекций Enterprise, и она полностью испортила мои результаты по Enterprise PKI в MMC. В оснастке центра сертификации теперь есть два сертификата (сертификат № 0 и № 1). AIA (ldap) показывает «Невозможно загрузить» с «оригинальным CN =». Расположение CDP (ldap) имеет (1), как и DeltaCRL. Каждый раз, когда я возобновляю отзыв, он создает как crl исходного сертификата, так и a (1). CDP / DeltaCRL (http) также показывают, что «невозможно загрузить», даже если файлы существуют в каталоге. Единственное местоположение AIA, которое показывает OK - это местоположение http.
Мне нужно избавиться от старого сертификата CA (# 0), я повторно вытолкну новый через GPO, как только все это будет решено. Я попытался удалить AIA с помощью ADSIEdit, а затем повторно опубликовать его с помощью «certutil -dspublish», но это дает мне ошибку 0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER). Попытка подключиться к Конфигурации конкретного CA через ADSIEdit говорит, что «сервер не работает». В ADSIEdit CN = CDP есть несколько записей: обычный «CA», «CA-1» и «CA-1 (1)».
Это в нашей "тестовой" среде (к счастью), но мне нужно разобраться в правильном процессе, так как я должен сделать это в двух других лесах. На самом деле я испытываю желание просто полностью перестроить новый ЦС в других зонах вместо того, чтобы бороться со всем этим.
Все, что я пытаюсь сделать, это заново выдать сертификат subCA, заставить его работать правильно и сообщить о работоспособности в Enterprise PKI!
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration \ OMNI,
TST-CERTAUTH-01-CA-1 \ CRLPublicationURLs:
CRLPublicationURLs REG_MULTI_SZ =
0: 65: C: \ windows \ system32 \ CertSrv \ CertEnroll \% 3% 8% 9.crl
CSURL_SERVERPUBLISH - 1
CSURL_SERVERPUBLISHDELTA - 40 (64)
1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
CSURL_SERVERPUBLISH -- 1
CSURL_ADDTOCERTCDP -- 2
CSURL_ADDTOFRESHESTCRL -- 4
CSURL_ADDTOCRLCDP -- 8
CSURL_SERVERPUBLISHDELTA -- 40 (64)
2: 134:http://pki.omni.phish/CertEnroll/%3%4%9.crl
CSURL_ADDTOCERTCDP -- 2
CSURL_ADDTOFRESHESTCRL -- 4
CSURL_ADDTOIDP -- 80 (128)
HKEY_LOCAL_MACHINE \ SYSTEM \ CurrentControlSet \ Services \ CertSvc \ Configuration \ OMNI,
TST-CERTAUTH-01-CA-1 \ CACertPublicationURLs:
CACertPublicationURLs REG_MULTI_SZ =
0: 1: C: \ Windows \ system32 \ CertSrv \ CertEnroll \% 1_% 3% 4.crt
CSURL_SERVERPUBLISH - 1
1: 3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
CSURL_SERVERPUBLISH -- 1
CSURL_ADDTOCERTCDP -- 2
2: 32:http://%1/ocsp
CSURL_ADDTOCERTOCSP -- 20 (32)
3: 32:http://pki.omni.phish/oscp
CSURL_ADDTOCERTOCSP -- 20 (32)
4: 2:http://pki.omni.phish/CertEnroll/%3.crt
CSURL_ADDTOCERTCDP -- 2