Tinha realmente a ver com Certificados.
Depois de instalar KB2919355
, parece que os certificados são examinados mais de perto, especialmente a CRL.
Tivemos que diagnosticar isso usando:
Diagnóstico
Limpar caches de revogação executando esses comandos como admin
certutil.exe -urlcache * delete
reg delete "HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" /v DisallowedCertEncodedCtl /f
reg delete "HKLM\SOFTWARE\Microsoft\SystemCertificates\AuthRoot\AutoUpdate" /v DisallowedCertLastSyncTime /fcertutil.exe -setreg chain\ChainCacheResyncFiletime @now
net stop cryptsvc
net stop wuauserv
ipconfig /flushdns
Inicie o rastreamento de rede executando este comando como admin:
netsh trace start scenario=InternetClient
Ativar o registro CAPI2 do Visualizador de Eventos:
Abrir 'Visualizador de Eventos'
Navegue para "Registros de aplicativos e serviços" > Microsoft > Windows > CAPI2 > Operacional.
Clique com o botão direito do mouse em 'Operacional' na árvore de diretórios e selecione 'Ativar registro'
Analise o Windows Update público usando a interface do usuário (miniaplicativo do Painel de controle ou Configurações do PC) e deixe-o falhar.
Execute este comando como admin e ele produzirá um arquivo NetTrace.cab:
netsh trace stop
Volte para o Visualizador de Eventos e exporte os eventos do CAPI2 clicando em "Salvar todos os eventos como ..."
Análise
Hi MichelZ, your case is different from others. It was an actual, non-network related, revocation failure. There seems to be a misconfiguration on either the certificate or CRL. Presence of event 42 with error on Call_CertIsValidCRLForCertificate indicates that "IDP in the CRL is Not Valid for the Subject Certificate". See http://technet.microsoft.com/en-us/library/cc749296(v=ws.10).aspx.
Our guess is that the Certificate Distribution Point (CDP) field in your end/leaf cert does not contain the same URL as the one in CRL's Issuing Distribution Point (IDP) field. Hope this helps. Thank you.
De fato, eu dei uma olhada no CDP da CRL do certificado e no campo IDP da CRL:
CDP URL: http://some.host.com/pki/company Enterprise CA1 - G1.crl
IDP URL: http://some.host.com/pki/company%20Enterprise%20CA1%20-%20G1.crl
Um foi escapado e um não foi.
(Cortesia este tópico nos fóruns do TechNet)
Solução também conhecido como TL; DR
A solução no meu caso foi bem simples. Eu regenerado o WSUS IIS Certificate, e ele magicamente tem a URL correta do CDP da CRL.
Na verdade, agora tem as duas URLs:
[1]CRL Distribution Point
Distribution Point Name:
Full Name:
URL=http://some.host.com/pki/company Enterprise CA1 - G1.crl (http://some.host.com/pki/company%20Enterprise%20CA1%20-%20G1.crl)
Depois disso, a verificação contra o WSUS funciona perfeitamente bem novamente.