Eu configurei uma nova PKI de 2 camadas para tentar substituir uma PKI antiga e quebrada por uma CA que não estava mais disponível. Tudo parece estar funcionando entre a raiz offline e CAs emissoras on-line, mas agora estou tentando mover meus certificados de controlador de domínio DCs da antiga CA inativa para a nova PKI e obtendo um erro. Quando tento solicitar manualmente em um DC com uma nova chave, obtenho:
STATUS: Request denied
A certificate's basic constraint has not been observed.
Ainda sou novo no ADCS, por isso não sei como resolver isso ainda mais, mas observo as propriedades de solicitação com falha para as restrições básicas mostradas:
Subject Type=End Entity
Path Length Constraint=None
E para o certificado da CA de emissão, mostra:
Subject Type=CA
Path Length Constraint=0
Como posso depurar isso mais para ver qual restrição está falhando e onde? Servidores são o Windows 2012.