我遇到了一个问题,希望有人能帮助我。我们被要求在其下设置一个新的根 CA 和 2 个下属(颁发)CA(请求包括使用 Azure 并将每个 VM 放置在不同的区域以实现冗余)。我们颁发了根 CA 和第一个下属 CA,但在第二个下属 CA 上我们收到 2 个错误。-第一个是我们可以选择忽略的,并且这样做了,它是“无法验证证书链。您是否希望忽略错误并继续?吊销功能无法检查吊销,因为吊销服务器处于脱机状态。0x80092013”-当我们单击确定并运行它时,我们得到“Certutil:-installCert 命令失败:0x8007139f(WIN32:5023 ERROR_INVALID_STATE)CertUtil:组资源未处于执行请求操作的正确状态。”奇怪的是,它说一切顺利,我们只需要重新启动即可生效,然后又出现了第二个错误。所有这些都是在 Windows Server 2016 中,我们使用了这个说明https://www.derekseaman.com/2021/03/windows-server-2019-two-tier-pki-ca-pt-2.html第 2 部分是颁发 CA 开始的部分。我们按照相同的说明进行第二部分,但如上所述,没有成功。
答案1
您应该在提示时停止,忽略证书验证失败并调查原因。其他错误源于该问题。微软没有明确说明继续操作可能会变得很麻烦。
您的根 CA 会将 CRL 分发点扩展添加到其颁发的所有证书(企业 CA 证书)。查看已颁发的企业 CA 证书(带有certutil.exe <cert file>
或cerutil.exe -UI <cert file>
)并找到 CRL 分发点扩展:
复制 CRL 分发点扩展中的 URL 并尝试下载 CRL(浏览器或curl.exe
)。如果成功(也可能不成功),请确保其有效且由根 CA 颁发:
除非您能做到这一点,否则继续构建是没有意义的。我怀疑本文的第 1 部分出了问题,在该部分中,您要么配置 CRL 分发点(使用Add-CACRLDistributionPoint
),要么将文件上传到 IIS 服务器。
在这些情况下,企业 CA 的事件日志(应用程序日志,过滤源CertificationAuthority
)会很有用。