Я установил новую двухуровневую PKI, чтобы попытаться заменить старую сломанную PKI на CA, который больше не был доступен. Кажется, что все работает между автономным корневым и онлайн-центрами сертификации, но теперь я пытаюсь переместить свои сертификаты контроллеров домена DC со старого мертвого ЦС в новый PKI и получаю сообщение об ошибке. Когда я пытаюсь вручную запросить DC с новым ключом, я получаю:
STATUS: Request denied
A certificate's basic constraint has not been observed.
Я все еще новичок в ADCS, поэтому я не уверен, как устранить эту неполадку, но смотрю на свойства неудачного запроса на предмет основных ограничений, которые он показывает:
Subject Type=End Entity
Path Length Constraint=None
А для сертификата выдающего ЦС он показывает:
Subject Type=CA
Path Length Constraint=0
Как я могу отладить это дальше, чтобы увидеть, какое ограничение не работает и где? Серверы - Windows 2012.