我build立了一个新的2层PKI,试图用一个不再可用的CAreplace一个旧的破损的PKI。 一切似乎都在脱机的根和在线颁发的CA之间工作,但现在我试图将我的DC域控制器证书从旧的CA移到新的PKI并出现错误。 当我尝试使用新密钥在DC上手动请求时,我得到:
STATUS: Request denied A certificate's basic constraint has not been observed. 我还是新来的ADCS,所以我不知道如何进一步排除故障,但看看失败的请求属性的基本约束,它显示:
Subject Type=End Entity Path Length Constraint=None
而颁发CA的证书则显示:
Subject Type=CA Path Length Constraint=0
我怎样才能进一步debugging,看看哪些约束是失败的,在哪里? 服务器是Windows 2012。