РЕШЕНО: https://www.reddit.com/r/sysadmin/comments/g2js6c/enterprise_pki_and_ad_cs_cannot_downloadget/
У меня есть два экземпляра под управлением Windows Server 2019: один как автономный автономный корневой центр сертификации, а другой как подчиненный корпоративный центр сертификации в Интернете. У меня есть экземпляр Windows Server SubCA, на котором запущен IIS с общей папкой PKI, которая содержит AIA и CDP (CRLS) для моей установки PKI. Я успешно могу загрузить все AIA и CRL из расположения IIS (http: //pki.mydomain.local/PKI/), но по какой-то странной причине у AD CS возникают проблемы с загрузкой CRL корневого CA по адресу http: //pki.mydomain.local/PKI/CDP/RootCA.crl: https://pasteboard.co/J3CFI2r.png
Из-за этого, когда я пытаюсь запустить свой SubCA, он не проходит проверку отзыва: https://pasteboard.co/J3CGNAw.png
Кроме того, при использовании Certutil URL Retrieval Tool он сообщает «Неверный эмитент», когда я проверяю CRL по сертификату моего SubCA. Я утроил количество проверок и на 100% уверен, что сертификат SubCA был выпущен моим корневым центром сертификации, который опубликовал этот CRL. Серийный номер и отпечаток для корневого центра сертификации совпадают для CRL, который я опубликовал в IIS, и оригинала, который был создан в автономном корневом экземпляре ЦС: https://pasteboard.co/J3CJxFs.png
Я пробовал следующее:
Перезапуск IIS
Обновление корневого центра сертификации, а затем дочернего центра сертификации
Публикация CRL корневого ЦС в сетевом расположении вместо IIS, но когда я сохраняю расположение на вкладке «Расширения» корневого ЦС с помощью «file: // \ server-dns.local \ PKI \ CDP \ RootCA.crl», он заменяет все обратные косые черты на обычные, например: "file: ////server.dns.local/PKI/CDP/RootCA.crl"; Винда портит форматирование.
Я в тупике. Помощь очень ценится! :)
Посетите этот пост от меня, чтобы получить ответ: https://www.reddit.com/r/sysadmin/comments/g2js6c/enterprise_pki_and_ad_cs_cannot_downloadget/
