Servizi certificati Active Directory non possono pubblicare l'elenco di revoca dopo il rinnovo con una nuova chiave privata

In sintesi:

  • Ho avuto una radice non in linea CA e una CA integrata AD funzionava bene
  • Ho rinnovato il certificato con la stessa chiave privata e tutto era buono
  • Ho quindi rinnovato il certificato con una nuova chiave privata e non posso più pubblicare l'elenco di revoca. HTTP è stato pubblicato, ma LDAP non è stato. L'AIA sia LDAP che http erano ok
  • Ho poi ricostruito il subordinato e rinnovato con una nuova chiave privata e non sono riuscito sia l'AIA che il CRL
  • Ho quindi ricostruito il subordinato e rinnovato di nuovo con la stessa chiave pubblica privata e sia l'AIA che il CRL possono essere pubblicati in HTTP e LDAP. L'HTTP crea un secondo file di certificato con un indice "(1)" ma il CRL e l'LDAP per l'AIA non hanno l'indice (1)

Quindi mentre lo faccio, sto postando questo per vedere se c'è qualcosa che ho perso.

  • Windows Server 2008 - tempo inspiegabile del sistema salta / guasti / imprecisioni
  • Aggiunta di un controller di dominio 2012 R2 a un dominio di livello funzionale 2008 R2
  • IIS interrompe il thread di richiesta con lo stato 995
  • Come bloccare un server Windows 2008 prima di collegarlo a Internet
  • Devo triggersre TLS 1.0 in Windows 2008 R2?
  • Problema di stato di session ASP.NET del server Web IIS 7.5 bilanciato
  • Ho una CA subordinata di Windows Server 2008 R2 integrata con AD e ho una CA di root offline che firma il certificato del subordinato. Il CRL per la CA CA offline viene memorizzato in una posizione http accessibile. Quello è che ho due CAs – funzionano e il PKIView.MSC (usato per) elencato tutto con uno stato di OK.

    Il subordinato ha avuto posizioni LDAP e HTPP AIA e CRL e ha anche utilizzato DeltaCRL La radice ha una posizione CRL HTTP e non DeltaCRLs.

    Ho appena rinnovato la chiave sul mio subordinato, ho approvato la richiesta e ho reinstallato il certificato sulla mia CA subordinata. Quando tento di pubblicare il CRL, ottengo il seguente errore ID errore 66

    Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=xxxxxxxxxxx(1),CN=xxxxx,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,xxxxxxx,Operation aborted 0x80004004 (-2147467260). 

    e il seguente errore ErrorID 74

     Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server Servername:ldap:///CN=CAName(1),CN=ServernameName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST. Directory object not found. 0x8007208d (WIN32: 8333). ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=ServerName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DCLIST' 

    Ho seguito l'articolo MS Event ID 66

    Questo è un sistema di test che quando ho provato prima questo ID evento 66 è accaduto in modo da ribuild la disinstallazione e reinstallare la CA subordinata una volta che questo è accaduto con ora ID evento 66 e 74. La radice offline non è stata ricostruita; Tuttavia ho aggiornato il CRL dalla radice offline al server http.

    In Adsiedit lo vedo

    CN = SERVERNAME, CN = CDP, CN = Servizi di chiave pubblica, CN = Servizi, CN = Configurazione, DCLIST

    è un contenitore

    ldap: /// CN = CANAME, CN = SERVERNAME, CN = CDP, CN = Servizi di chiave pubblica, CN = Servizi, CN = Configurazione, DCLIST

    è un cRLDistributionPoint e

    ldap: /// CN = CANAME (1), CN = SERVERNAME, CN = CDP, CN = Servizi di chiave pubblica, CN = Servizi, CN = Configurazione, DCLIST

    non esiste

    Le mie estensioni CDP sono

     C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public 

    Servizi chiave, CN = Servizi, http: ///pki/.crl

    Le mie estensioni AIA sono

     C:\Windows\system32\CertSrv\CertEnrol\<ServerDNSName>_<CaName><CertificateName>.crt ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass> http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt 

  • "Contrassegnare" un CA con openssl
  • Come sostituire correttamente il certificato CA quando i client vengono messi in bundle in contenitori PKCS # 12?
  • Come get il nome comune del certificato dal file PEM
  • Il controllo di revoca del certificato non riesce per gli ospiti non di dominio, nonostante il CRL accessibile
  • Creazione di certificati secondari da un certificato di origine (SSL)
  • Il certificato di wildcard per l'Autorità Certificata SSL locale?
  • Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.