服务器 Gind.cn
  1. 服务器 Gind.cn
  3. Active Directory证书服务无法在使用新私钥更新后发布吊销列表
Intereting Posts
301redirect问题 – 有多less,他们应该去哪里? 如何打开http服务器的Linux NFS exportfs -a失败 Xenial中的libapache2-mod-macro发生了什么? 不同的过期标题为特定的URL 带有2个NIC的Windows XP SP2 尝试从邮件客户端发送邮件时,SMTP不起作用 存储vMotion失败,错误0xbad0060(必要的模块未加载) 将信封更改为匹配来自Postfix中的标题 如何获得 – 每个进程的线程数量? 奇怪的tcpnetworking连接149.9.1.16:ircd Augeas – 创build新的ini部分 与IIS7的Windows身份validation与公共网站 邮件命令:内容filter在后缀的作品? 如何testing来自不同IP的多个并发用户(负载testing)?

Active Directory证书服务无法在使用新私钥更新后发布吊销列表

综上所述:

  • 我有一个工作的脱机根CA和AD集成CA工作正常
  • 我用同一个私钥重新证书,一切都很好
  • 然后我用一个新的私钥更新证书,而且我不能再发布撤销列表。 HTTP已发布,但LDAP不是。 AIA LDAP和http都可以
  • 然后,我重build了下属,并用一个新的私人钥匙重新开始,并使AIA和CRL都失败了
  • 然后我重build了下属,并再次使用相同的私钥进行续订,AIA和CRL都可以发布到HTTP和LDAP。 HTTP确实创build了具有“(1)”索引的第二个证书文件 – 但是,针对AIA的CRL和LDAP没有(1)索引

所以虽然我这样做,我张贴这个,看看有没有我错过的东西。

我有一个Windows Server 2008 R2从属CA与AD集成,我有一个离线根CA签署下属的证书。 脱机根CA的CRL存储在可访问的http位置。 这是我有两个CA – 他们的工作和PKIView.MSC(用来)列出的所有状态的确定。

下属具有LDAP和HTPP AIA和CRL位置,也使用DeltaCRL根具有HTTP CRL位置,没有DeltaCRL。

我刚刚更新了下属的钥匙,批准了请求,并将证书重新安装在我的下属CA. 当我尝试发布CRL时,出现以下错误错误ID 66 

Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=xxxxxxxxxxx(1),CN=xxxxx,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,xxxxxxx,Operation aborted 0x80004004 (-2147467260).

和以下错误ErrorID 74 

 Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server Servername:ldap:///CN=CAName(1),CN=ServernameName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST. Directory object not found. 0x8007208d (WIN32: 8333). ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=ServerName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DCLIST'

我已经按照MS事件ID 66的文章

这是一个testing系统,当我第一次尝试这个事件时,只发生了事件ID 66,所以我重build了卸载并重新安装了副CA,一旦事件ID 66和74发生了这种情况。 但是我没有更新从脱机根到http服务器的CRL。

在Adsiedit我可以看到

CN = SERVERNAME,CN = CDP,CN =公钥服务,CN =服务,CN =configuration,DCLIST

是一个容器

ldap:/// CN = CANAME,CN = SERVERNAME,CN = CDP,CN =公钥服务,CN =服务,CN =configuration,DCLIST

是一个cRLDistributionPoint和

ldap:/// CN = CANAME(1),CN = SERVERNAME,CN = CDP,CN = Public Key Services,CN = Services,CN = Configuration,DCLIST

不存在

我的CDP扩展是 

 C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public

Key Services,CN = Services,http:///pki/.crl

我的友邦保险扩展是 

 C:\Windows\system32\CertSrv\CertEnrol\<ServerDNSName>_<CaName><CertificateName>.crt ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass> http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt