我正在使用 Ansible 管理一组服务器,对于 Windows 服务器,正在使用 winrm。一切都已设置好并运行良好,但现在是时候替换 ansible 正在使用的服务用户的证书(而不是 WinRM SSL 连接的证书)。它最初使用自签名证书(作为测试)进行设置,然后用正确的 CA 签名证书替换。但现在,我正尝试用新证书替换该客户端证书,但却遇到了麻烦。
问题可能是同一个用户、同一个主题、同一个发行者、同一个 URI……唯一的区别是时间/有效性(已经开始)。这是我遗漏了某些步骤的特殊情况吗?
- 新证书已导入 Root 和 TrustedPeople 证书存储位置
- RootCA 和 SubCA 存在且认证路径有效,状态正常
- winrm 证书映射已存在并已启用
- 就像我说的,相同的发行者指纹、相同的 URI、相同的主题 CN……等等,应该可以开箱即用
- 我甚至尝试删除证书映射并再次创建它,但无济于事
- 旧客户端证书已被删除,它们之间不应该有任何冲突
当我尝试连接时,服务器拒绝这些凭据。如果我再次执行相同的过程,但使用旧证书(仍然有效),则一切正常。即使是具有自己的证书映射(主题和颁发者不同)的旧自签名测试证书也可以为同一个 Windows 用户工作,即使是并行的。重启不会带来任何新东西。
我错过了什么?
答案1
找到了。OCSP 响应器服务器无法访问,无法确认证书撤销状态,因此该链不可信。