Назад | Перейти на главную страницу

Ошибка местоположения OCSP в pkiview.msc. Но респонденты OCSP, похоже, работают

В настоящее время я настраиваю новую внутреннюю инфраструктуру Windows PKI в нашей организации, чтобы заменить старую установку.

В основном все в порядке, но местоположение OCSP имеет статус «Ошибка» в консоли pkiview. Когда я проверяю сертификат с помощью certutil (certutil -URL test-certificate.cer или certutil -urlfetch -verify test-certificate.cer) он отображается как проверенный. Так что ответчик вроде работает.

Кто-нибудь знает, почему статус ошибки может отображаться в pkiview? Или где найти соответствующие журналы об этой ошибке?

Дополнительная информация о настройке:

При поиске проблемы я обнаружил, что это может быть из-за устаревшего сертификата CA-Exchange. Но обновление не помогло.

Обновить

Я тестировал это с помощью Wireshark, и при запуске pkiview запрос ocsp фактически не выполняется. При беге certutil -URL test-certificate.cer Wireshark четко показывает запрос и ответ ocsp.

После еще нескольких поисков я понял это.

Для серверов респондентов ocsp я использовал тот же массив, что и в старой настройке pki, поскольку вы можете просто добавить несколько конфигураций в массив.

Когда эти серверы были настроены, я следил за это руководство чтобы получить более удобный URL-адрес для местоположения ocsp. (http://ocsp.domain.com вместо того http://ocsp.domain.com/ocsp) Это включало создание нового сайта IIS и редактирование файла конфигурации IIS.

Это хорошо работало для клиентов в прошлом и работает до сих пор. Но, похоже, вызывает ошибку в pkiview. Раньше расположение ocsp не добавлялось в сертификаты конечных точек. Он просто использовался для одного приложения, URL-адреса которого были в файле конфигурации. Так что он не появился в pkiview.

Когда мы вернулись к стандартной конфигурации IIS и обновили сертификат CAExchange, ошибка исчезла.