Назад | Перейти на главную страницу

Суб ЦС Windows не выдает сертификаты

Я установил новую двухуровневую PKI, чтобы попытаться заменить старую сломанную PKI на CA, который больше не был доступен. Кажется, что все работает между автономным корневым и онлайн-центрами сертификации, но теперь я пытаюсь переместить свои сертификаты контроллеров домена DC со старого мертвого ЦС в новый PKI и получаю сообщение об ошибке. Когда я пытаюсь вручную запросить DC с новым ключом, я получаю:

STATUS: Request denied
A certificate's basic constraint has not been observed.

Я все еще новичок в ADCS, поэтому я не уверен, как устранить эту неполадку, но смотрю на свойства неудачного запроса на предмет основных ограничений, которые он показывает:

Subject Type=End Entity
Path Length Constraint=None

А для сертификата выдающего ЦС он показывает:

Subject Type=CA
Path Length Constraint=0

Как я могу отладить это дальше, чтобы увидеть, какое ограничение не работает и где? Серверы - Windows 2012.