Os Serviços de Certificados do Active Directory não podem publicar a lista de revogação após a renovação com a nova chave privada

Em resumo:

• Eu tinha uma CA raiz offline funcionando e uma autoridade de certificação integrada do CA funcionando bem
• Renovei o certificado com a mesma chave privada e tudo foi bom
• Em seguida, renovei o certificado com uma nova chave privada e não posso mais publicar a lista de revogação. HTTP foi publicado, mas o LDAP não foi. O AIA tanto LDAP quanto http estavam ok
• Eu reconstruí o subordinado e renovo com uma nova chave privada e ele falhou tanto na AIA quanto na CRL
• Eu reconstruo o subordinado e renovo novamente com a mesma chave pública privada, e tanto o AIA quanto o CRL podem ser publicados em HTTP e LDAP. O HTTP cria um segundo arquivo de certificado com um índice "(1)" - mas a CRL e o LDAP para o AIA não têm o (1) índice

Então, enquanto eu faço isso, estou postando isso para ver se há algo que eu perdi.

Eu tenho uma autoridade de certificação subordinada do Windows Server 2008 R2 integrada ao AD e tenho uma autoridade de certificação raiz offline que assina o certificado do subordinado. A CRL da CA raiz offline é armazenada em um local http acessível. Ou seja, eu tenho duas CAs - elas funcionam e o PKIView.MSC (usado para) listou tudo com um status OK.

O subordinado tinha locais LDAP e HTPP AIA e CRL e também usava DeltaCRLs A raiz tem uma localização de CRL HTTP e não DeltaCRLs.

Acabei de renovar a chave no meu subordinado, aprovar o pedido e reinstalar o certificado na minha AC subordinada. Quando tento publicar a CRL, recebo o seguinte erro ID do erro 66

Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=xxxxxxxxxxx(1),CN=xxxxx,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,xxxxxxx,Operation aborted 0x80004004 (-2147467260).

e o seguinte erro ErrorID 74

Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server Servername:ldap:///CN=CAName(1),CN=ServernameName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST.  Directory object not found. 0x8007208d (WIN32: 8333).
ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
    'CN=ServerName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DCLIST'

Eu segui o artigo MS Event ID 66

Este é um sistema de teste que, quando tentei pela primeira vez, ocorreu somente a identificação de evento 66, então eu reconstruí a desinstalação e reinstalei a CA subordinada assim que isso aconteceu agora com as IDs de evento 66 e 74. A raiz off-line não foi reconstruída; No entanto, atualizei a CRL da raiz off-line para o servidor http.

No Adsiedit, posso ver que

CN=SERVERNAME,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST

é um contêiner

ldap:///CN=CANAME,CN=SERVERNAME,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST

é um cRLDistributionPoint e

ldap:///CN=CANAME(1),CN=SERVERNAME,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST

não existe

As minhas extensões do CDP são

C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public

Serviços-chave, CN = Serviços,     http: ///pki/.crl

As minhas extensões AIA são

C:\Windows\system32\CertSrv\CertEnrol\<ServerDNSName>_<CaName><CertificateName>.crt
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key
Services,CN=Services,<ConfigurationContainer><CAObjectClass>
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt