使用新私钥续订后,Active Directory 证书服务无法发布吊销列表

使用新私钥续订后,Active Directory 证书服务无法发布吊销列表

总之:

  • 我有一个可以正常工作的离线根 CA 和一个正常工作的 AD 集成 CA
  • 我使用相同的私钥更新了证书,一切正常
  • 然后我用新的私钥更新了证书,但我无法再发布撤销列表。HTTP 已发布,但 LDAP 未发布。AIA(LDAP 和 http)都正常
  • 然后我重建了下属,并用新的私钥进行了更新,但 AIA 和 CRL 均失败了
  • 然后,我重建了下属,并使用相同的私钥再次更新,AIA 和 CRL 都可以发布到 HTTP 和 LDAP。HTTP 确实创建了第二个带有“(1)”索引的证书文件 - 但 AIA 的 CRL 和 LDAP 没有 (1) 索引

因此,当我这样做时,我会发布此内容以查看是否我遗漏了什么。

我有一个与 AD 集成的 Windows Server 2008 R2 从属 CA,还有一个离线根 CA,用于签署从属 CA 的证书。离线根 CA 的 CRL 存储在可访问的 http 位置。也就是说,我有两个 CA - 它们可以正常工作,并且 PKIView.MSC(以前)列出了状态为 OK 的所有内容。

从属具有 LDAP 和 HTTP AIA 和 CRL 位置,并且还使用 DeltaCRL。根具有 HTTP CRL 位置,但没有 DeltaCRL。

我刚刚在下属 CA 上续订了密钥,批准了请求,并在下属 CA 上重新安装了证书。当我尝试发布 CRL 时,出现以下错误:错误 ID 66

Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=xxxxxxxxxxx(1),CN=xxxxx,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,xxxxxxx,Operation aborted 0x80004004 (-2147467260).

以及以下错误 ErrorID 74

Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server Servername:ldap:///CN=CAName(1),CN=ServernameName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST.  Directory object not found. 0x8007208d (WIN32: 8333).
ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
    'CN=ServerName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DCLIST'

我已经关注了这篇文章MS 事件 ID 66

这是一个测试系统,当我第一次尝试时,只发生了事件 ID 66,因此我重建了卸载的 CA,并在发生此事件后重新安装了下属 CA,现在事件 ID 为 66 和 74。离线根没有重建;但是我确实将 CRL 从离线根更新到了 http 服务器。

在 Adsiedit 中我可以看到

CN=SERVERNAME、CN=CDP、CN=公钥服务、CN=服务、CN=配置、DCLIST

是一个容器

ldap:///CN=CANAME,CN=SERVERNAME,CN=CDP,CN=公钥服务,CN=服务,CN=配置,DCLIST

是 cRLDistributionPoint 并且

ldap:///CN=CANAME(1),CN=SERVERNAME,CN=CDP,CN=公钥服务,CN=服务,CN=配置,DCLIST

不存在

我的 CDP 扩展是

C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public

密钥服务,CN=服务,http:///pki/.crl

我的 AIA 扩展是

C:\Windows\system32\CertSrv\CertEnrol\<ServerDNSName>_<CaName><CertificateName>.crt
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key
Services,CN=Services,<ConfigurationContainer><CAObjectClass>
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt

相关内容