Должен ли корневой сертификат проходить проверку состояния отзыва?

Question

[NikanorovKir]

Всем доброго времени суток.

Достался в наследство PKI на винде:
1) RootSRV - не в домене, выпускает CA, SubCA и CRL к нему (оффлайн);
2) IssueSRV - в домене (он же DC), хранит на себе SubCA, выпускает клиентские сертификаты и CRL к ним. Всё на 2008r2.

Всё используется для авторизации доменных пользователей по смарт-карте.

Добавил новый контроллер домена (2016) и столкнулся с проблемой, что если пользователь пытается пройти аутентификацию по смарт-карте через новый контроллер домена, то возникает ошибка "Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт-карты, не определено". =(

На этом DC проверяю CertUtil -verify:
1) клиентский сертификат - нет ошибок;
2) сертификат SubCA - нет ошибок;
3) наконец ROOTCA - "Не удалось проверить состояние отзыва сертификата".

При этом при проверке rootca на самом IssueSRV, то он также ругается, что не удалось проверить состояние отзыва сертификата, но проводить аутентификацию клиентов это ему не мешает, так же как не мешает ещё одному старенькому контроллеру домена пуска клиентов по смарт-карте.

Вот я чёт не могу понять, может корневой и не должен проходить эту проверку, а проблема в чём то другом?))

К слову, новый контроллер домена поначалу ругался на то, что не может получить сертификат для себя самого с той же ошибкой, но теперь вижу в личном хранилище сертификатов компьютера, что всё таки получил серт от IssueSRV (шаблон Domain Controller).

Answer 1

[Alexey Dmitriev]

Какие типы сертификатов выпущены на DC в Computer-Personal?
(mmc-add snapin-certificates-computer-personal)
Скорее всего вы не выпустили для DC сертификат типа Domain Controller, Domain Controller Authentication

Второй вопрос - в каких группах находится компьютерный аккаунт этого DC?

Comments

[NikanorovKir]

Сертификат Domain Controller на проблемном DC есть (Проверка подлинности клиента (1.3.6.1.5.5.7.3.2)
Проверка подлинности сервера (1.3.6.1.5.5.7.3.1)). Domain Controller Authentication - нет, но насколько я понимаю, его наличие не обязательно.

Этот DC только в группе "Контроллеры домена".

Забыл уточнить, если я на клиенте, который пытается аутентифицироваться по смарт-карте на проблемном DC выставляю параметр "UseCachedCRLOnlyAndIgnoreRevocationUnknownErrors", то пользователь успешно входит. По всем признакам какая-то фигня именно со списками отзыва ¯\_(ツ)_/¯

[Alexey Dmitriev]

NikanorovKir, так поверьте доступны ли они по http и smb на этом DC

[NikanorovKir]

Alexey Dmitriev, для клиентского сертификата CRL доступны по URL и ldap (вбиваю в браузер оба типа ссылок - получаю CRL), для issueCA только по URL (для него нет ldap).