我设置了一个新的 2 层 PKI,尝试用不再可用的 CA 替换旧的损坏的 PKI。离线根 CA 和在线颁发 CA 之间似乎一切正常,但现在我尝试将我的 DC 域控制器证书从旧的失效 CA 移动到新的 PKI,并收到错误。当我尝试使用新密钥在 DC 上手动请求时,我得到:
STATUS: Request denied
A certificate's basic constraint has not been observed.
我对 ADCS 还不熟悉,所以我不确定如何进一步排除故障,但查看失败请求属性中的基本约束时显示:
Subject Type=End Entity
Path Length Constraint=None
对于颁发 CA 的证书,它显示:
Subject Type=CA
Path Length Constraint=0
我该如何进一步调试以查看哪个约束失败以及在哪里失败?服务器是 Windows 2012。