Servizi certificati Active Directory non possono pubblicare l'elenco di revoca dopo il rinnovo con una nuova chiave privata

In sintesi:

  • Ho avuto una radice non in linea CA e una CA integrata AD funzionava bene
  • Ho rinnovato il certificato con la stessa chiave privata e tutto era buono
  • Ho quindi rinnovato il certificato con una nuova chiave privata e non posso più pubblicare l'elenco di revoca. HTTP è stato pubblicato, ma LDAP non è stato. L'AIA sia LDAP che http erano ok
  • Ho poi ricostruito il subordinato e rinnovato con una nuova chiave privata e non sono riuscito sia l'AIA che il CRL
  • Ho quindi ricostruito il subordinato e rinnovato di nuovo con la stessa chiave pubblica privata e sia l'AIA che il CRL possono essere pubblicati in HTTP e LDAP. L'HTTP crea un secondo file di certificato con un indice "(1)" ma il CRL e l'LDAP per l'AIA non hanno l'indice (1)

Quindi mentre lo faccio, sto postando questo per vedere se c'è qualcosa che ho perso.

  • Perché i file finiscono per essere riempiti interamente con byte nulle dopo la replica utilizzando DFSR?
  • È questa una vulnerabilità o sfruttamento di un DNS?
  • Windows Server 2008 non riconosce il modem esterno
  • Come posso risolvere il tempo del kernel?
  • Gestito centralmente WSUS, ma gli aggiornamenti vengono da Internet
  • RAID di software Windows Server 2008 con size diverse SSD
  • Ho una CA subordinata di Windows Server 2008 R2 integrata con AD e ho una CA di root offline che firma il certificato del subordinato. Il CRL per la CA CA offline viene memorizzato in una posizione http accessibile. Quello è che ho due CAs – funzionano e il PKIView.MSC (usato per) elencato tutto con uno stato di OK.

    Il subordinato ha avuto posizioni LDAP e HTPP AIA e CRL e ha anche utilizzato DeltaCRL La radice ha una posizione CRL HTTP e non DeltaCRLs.

    Ho appena rinnovato la chiave sul mio subordinato, ho approvato la richiesta e ho reinstallato il certificato sulla mia CA subordinata. Quando tento di pubblicare il CRL, ottengo il seguente errore ID errore 66

    Active Directory Certificate Services could not publish a Delta CRL for key 1 to the following location: ldap:///CN=xxxxxxxxxxx(1),CN=xxxxx,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,xxxxxxx,Operation aborted 0x80004004 (-2147467260). 

    e il seguente errore ErrorID 74

     Active Directory Certificate Services could not publish a Base CRL for key 1 to the following location on server Servername:ldap:///CN=CAName(1),CN=ServernameName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DCLIST. Directory object not found. 0x8007208d (WIN32: 8333). ldap: 0x20: 0000208D: NameErr: DSID-0310020A, problem 2001 (NO_OBJECT), data 0, best match of: 'CN=ServerName,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=DCLIST' 

    Ho seguito l'articolo MS Event ID 66

    Questo è un sistema di test che quando ho provato prima questo ID evento 66 è accaduto in modo da ribuild la disinstallazione e reinstallare la CA subordinata una volta che questo è accaduto con ora ID evento 66 e 74. La radice offline non è stata ricostruita; Tuttavia ho aggiornato il CRL dalla radice offline al server http.

    In Adsiedit lo vedo

    CN = SERVERNAME, CN = CDP, CN = Servizi di chiave pubblica, CN = Servizi, CN = Configurazione, DCLIST

    è un contenitore

    ldap: /// CN = CANAME, CN = SERVERNAME, CN = CDP, CN = Servizi di chiave pubblica, CN = Servizi, CN = Configurazione, DCLIST

    è un cRLDistributionPoint e

    ldap: /// CN = CANAME (1), CN = SERVERNAME, CN = CDP, CN = Servizi di chiave pubblica, CN = Servizi, CN = Configurazione, DCLIST

    non esiste

    Le mie estensioni CDP sono

     C:\Windows\System32\CertSrv\CertEnroll\<CaName><CRLNameSuffix><DeltaCRLAllowed>.crl ldap:///CN=<CATruncatedName><CRLNameSuffix>,CN=<ServerShortName>,CN=CDP,CN=Public 

    Servizi chiave, CN = Servizi, http: ///pki/.crl

    Le mie estensioni AIA sono

     C:\Windows\system32\CertSrv\CertEnrol\<ServerDNSName>_<CaName><CertificateName>.crt ldap:///CN=<CATruncatedName>,CN=AIA,CN=Public Key Services,CN=Services,<ConfigurationContainer><CAObjectClass> http://<ServerDNSName>/CertEnroll/<ServerDNSName>_<CaName><CertificateName>.crt 

  • Certificato SSL: imansible get il certificato di emittente locale
  • Distribuzione e gestione del certificato
  • openssl req imposta errato "non dopo" data (overflow bug?)
  • Codice di errore: ssl_error_rx_record_too_long
  • È bene utilizzare il certificato SSL gratuito offerto da: Instant SSL by comodo? o meglio è StartCom?
  • Se ricevo un certificato firmato per ECDSA, i browser più vecchi saranno in grado di utilizzare RSA?
  • Suggerimenti per Linux e Windows Server, quali Ubuntu, Centos, Apache, Nginx, Debian e argomenti di rete.