Em resumo:
Então, enquanto eu faço isso, estou postando isso para ver se há algo que eu perdi.
Eu tenho uma autoridade de certificação subordinada do Windows Server 2008 R2 integrada ao AD e tenho uma autoridade de certificação raiz offline que assina o certificado do subordinado. A CRL da CA raiz offline é armazenada em um local http acessível. Ou seja, eu tenho duas CAs - elas funcionam e o PKIView.MSC (usado para) listou tudo com um status OK.
O subordinado tinha locais LDAP e HTPP AIA e CRL e também usava DeltaCRLs A raiz tem uma localização de CRL HTTP e não DeltaCRLs.
Acabei de renovar a chave no meu subordinado, aprovar o pedido e reinstalar o certificado na minha AC subordinada. Quando tento publicar a CRL, recebo o seguinte erro ID do erro 66
Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=xxxxxxxxxxx(1),CN=xxxxx,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,xxxxxxx,Operation aborted 0x80004004 (-2147467260).
e o seguinte erro ErrorID 74
Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server Servername:ldap:///CN=CAName(1),CN=ServernameName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST. Directory object not found. 0x8007208d (WIN32: 8333).
ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of:
'CN=ServerName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DCLIST'
Eu segui o artigo MS Event ID 66
Este é um sistema de teste que, quando tentei pela primeira vez, ocorreu somente a identificação de evento 66, então eu reconstruí a desinstalação e reinstalei a CA subordinada assim que isso aconteceu agora com as IDs de evento 66 e 74. A raiz off-line não foi reconstruída; No entanto, atualizei a CRL da raiz off-line para o servidor http.
No Adsiedit, posso ver que
CN=SERVERNAME,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST
é um contêiner
ldap:///CN=CANAME,CN=SERVERNAME,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST
é um cRLDistributionPoint e
ldap:///CN=CANAME(1),CN=SERVERNAME,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST
não existe
As minhas extensões do CDP são
C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl
ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public
Serviços-chave, CN = Serviços, http: ///pki/.crl
As minhas extensões AIA são
C:\Windows\system32\CertSrv\CertEnrol\<ServerDNSName>_<CaName><CertificateName>.crt
ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key
Services,CN=Services,<ConfigurationContainer><CAObjectClass>
http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt