Службы сертификации Active Directory не могут опубликовать список отзыва после обновления с новым закрытым ключом

В итоге:

• У меня был рабочий автономный корневой ЦС и интегрированный ЦС AD, работающий нормально
• Я обновил сертификат с тем же закрытым ключом, и все было хорошо
• Затем я обновил сертификат с новым закрытым ключом и больше не могу публиковать список отзыва. HTTP был опубликован, а LDAP - нет. AIA и LDAP, и http были в порядке
• Затем я восстановил подчиненное и обновил его с новым закрытым ключом, и он не прошел как AIA, так и CRL.
• Затем я перестроил подчиненный и снова обновил его с тем же закрытым открытым ключом, и как AIA, так и CRL могут быть опубликованы в HTTP и LDAP. HTTP действительно создает второй файл сертификата с индексом «(1)», но CRL и LDAP для AIA не имеют индекса (1)

Итак, пока я делаю это, я публикую это, чтобы увидеть, есть ли что-то, что я пропустил.

У меня есть подчиненный ЦС Windows Server 2008 R2, интегрированный с AD, и у меня есть автономный корневой ЦС, который подписывает подчиненный сертификат. CRL для автономного корневого центра сертификации хранится в доступном http-месте. То есть у меня есть два центра сертификации - они работают, а PKIView.MSC (раньше) перечислял все со статусом ОК.

Подчиненный имел местоположения LDAP и HTPP AIA и CRL, а также использовал DeltaCRL. Корень имеет местоположение HTTP CRL, а не DeltaCRL.

Я только что обновил ключ для своего подчиненного, утвердил запрос и переустановил сертификат в подчиненном ЦС. Когда я пытаюсь опубликовать CRL, я получаю следующее сообщение об ошибке Error ID 66

Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=xxxxxxxxxxx(1),CN=xxxxx,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,xxxxxxx,Operation aborted 0x80004004 (-2147467260).

и следующая ошибка ErrorID 74

Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server Servername:ldap:///CN=CAName(1),CN=ServernameName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST.  Directory object not found. 0x8007208d (WIN32: 8333).
ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
    'CN=ServerName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DCLIST'

Я читал статью Идентификатор события MS 66

Это тестовая система, которая, когда я впервые попробовал ее, произошло только с идентификатором события 66, поэтому я восстановил удаленный и переустановил подчиненный ЦС, как только это произошло, с теперь идентификаторами событий 66 и 74. Автономный корень не был перестроен; Однако я обновил CRL из автономного корня до http-сервера.

В Adsiedit я вижу, что

CN = ИМЯ СЕРВЕРА, CN = CDP, CN = Службы открытых ключей, CN = Службы, CN = Конфигурация, DCLIST

это контейнер

ldap: /// CN = CANAME, CN = SERVERNAME, CN = CDP, CN = Public Key Services, CN = Services, CN = Configuration, DCLIST

является cRLDistributionPoint и

ldap: /// CN = CANAME (1), CN = SERVERNAME, CN = CDP, CN = Public Key Services, CN = Services, CN = Configuration, DCLIST

не существует

Мои расширения CDP

C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public

Ключевые службы, CN = Services, http: ///pki/.crl

Мои расширения AIA

C:\Windows\system32\CertSrv\CertEnrol\<ServerDNSName>_<CaName><CertificateName>.crt
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key
Services,CN=Services,<ConfigurationContainer><CAObjectClass>
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt