В настоящее время я настраиваю новую внутреннюю инфраструктуру Windows PKI в нашей организации, чтобы заменить старую установку.
В основном все в порядке, но местоположение OCSP имеет статус «Ошибка» в консоли pkiview. Когда я проверяю сертификат с помощью certutil (certutil -URL test-certificate.cer или certutil -urlfetch -verify test-certificate.cer) он отображается как проверенный. Так что ответчик вроде работает.
Кто-нибудь знает, почему статус ошибки может отображаться в pkiview? Или где найти соответствующие журналы об этой ошибке?
Дополнительная информация о настройке:
При поиске проблемы я обнаружил, что это может быть из-за устаревшего сертификата CA-Exchange. Но обновление не помогло.
Обновить
Я тестировал это с помощью Wireshark, и при запуске pkiview запрос ocsp фактически не выполняется. При беге certutil -URL test-certificate.cer Wireshark четко показывает запрос и ответ ocsp.
После еще нескольких поисков я понял это.
Для серверов респондентов ocsp я использовал тот же массив, что и в старой настройке pki, поскольку вы можете просто добавить несколько конфигураций в массив.
Когда эти серверы были настроены, я следил за это руководство чтобы получить более удобный URL-адрес для местоположения ocsp. (http://ocsp.domain.com вместо того http://ocsp.domain.com/ocsp) Это включало создание нового сайта IIS и редактирование файла конфигурации IIS.
Это хорошо работало для клиентов в прошлом и работает до сих пор. Но, похоже, вызывает ошибку в pkiview. Раньше расположение ocsp не добавлялось в сертификаты конечных точек. Он просто использовался для одного приложения, URL-адреса которого были в файле конфигурации. Так что он не появился в pkiview.
Когда мы вернулись к стандартной конфигурации IIS и обновили сертификат CAExchange, ошибка исчезла.