我在 Windows 2003 上更新 SubCA 证书时遇到问题。我一直收到此错误(见图片)。我寻找了很多解决方案,其中之一是将 CLR 从 rootCA(独立服务器)复制到 SubCA 服务器(类似这样http://itcalls.blogspot.fr/2013/08/how-to-publish-new-certificate.html) 但我对此不太确定,而且我不想冒这么大的风险,因为我知道 LAN 上启用了 802.1x。有谁愿意分享一下他们的经验吗?
以下是错误:
答案1
看着那(这CRL 分发点SubCA 证书上的扩展。这将告诉您根 CA 的 CRL 需要位于何处,以便 SubCA(和其他人)可以访问它。
如果它是一个 HTTP URL,只需在 Web 服务器上发布根 CA 的 CRL,并记住在需要时将文件重命名为与 URL 相同。
如果它是 LDAP URL,请将根 CA 的 CRL 放在任何域计算机上的 AD 中:
certutil -dspublish -f <CRL filename>
您可能同时拥有 HTTP 和 LDAP URL,在这种情况下您应该执行这两个过程。
LDAP URL 可能需要一些时间来复制,因此您还可以将 CRL 添加到 SubCA 的本地计算机存储中以加快速度,方法是在 SubCA 上运行以下命令:
certutil -addstore -f Root <CRL filename>