@NikanorovKir

Должен ли корневой сертификат проходить проверку состояния отзыва?

Всем доброго времени суток.

Достался в наследство PKI на винде:
1) RootSRV - не в домене, выпускает CA, SubCA и CRL к нему (оффлайн);
2) IssueSRV - в домене (он же DC), хранит на себе SubCA, выпускает клиентские сертификаты и CRL к ним. Всё на 2008r2.

Всё используется для авторизации доменных пользователей по смарт-карте.

Добавил новый контроллер домена (2016) и столкнулся с проблемой, что если пользователь пытается пройти аутентификацию по смарт-карте через новый контроллер домена, то возникает ошибка "Состояние отзыва сертификата контроллера домена используемого для проверки подлинности смарт-карты, не определено". =(

На этом DC проверяю CertUtil -verify:
1) клиентский сертификат - нет ошибок;
2) сертификат SubCA - нет ошибок;
3) наконец ROOTCA - "Не удалось проверить состояние отзыва сертификата".

При этом при проверке rootca на самом IssueSRV, то он также ругается, что не удалось проверить состояние отзыва сертификата, но проводить аутентификацию клиентов это ему не мешает, так же как не мешает ещё одному старенькому контроллеру домена пуска клиентов по смарт-карте.

Вот я чёт не могу понять, может корневой и не должен проходить эту проверку, а проблема в чём то другом?))

К слову, новый контроллер домена поначалу ругался на то, что не может получить сертификат для себя самого с той же ошибкой, но теперь вижу в личном хранилище сертификатов компьютера, что всё таки получил серт от IssueSRV (шаблон Domain Controller).
  • Вопрос задан
  • 743 просмотра
Пригласить эксперта
Ответы на вопрос 1
SignFinder
@SignFinder
Wintel\Unix Engineer\DevOps
Какие типы сертификатов выпущены на DC в Computer-Personal?
(mmc-add snapin-certificates-computer-personal)
Скорее всего вы не выпустили для DC сертификат типа Domain Controller, Domain Controller Authentication

Второй вопрос - в каких группах находится компьютерный аккаунт этого DC?
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы