企业PKI mmc中PKI问题的定位

Question

我在我的一个企业子in上做了一个“更新证书”，这完全扰乱了我在MMC中的企业PKI的结果。在证书颁发机构管理单元中，现在有两个证书(证书#0和#1)。AIA (ldap)显示“无法下载”，带有“原始CN=”。CDP (ldap)位置上有一个(1)，DeltaCRL也是如此。每次我更新撤销，它都使原始证书的crl和a (1)。即使文件存在于目录中，CDP/DeltaCRL (http)也显示“无法下载”。唯一显示OK的AIA位置是http位置。

我需要摆脱旧的CA证书( #0)，一旦这一切都解决了，我将通过GPO重新推出新的CA证书。我试图通过ADSIEdit删除友邦保险，然后通过"certutil -dspublish“重新发布，但这给了我一个0x80070057 (WIN32: 87 ERROR_INVALID_PARAMETER)错误。试图通过ADSIEdit连接到特定CA的配置时，表示“服务器无法操作”。在ADSIEdit CN=CDP中有多个条目，正常的"CA“、"CA-1”和"CA-1(1)“。

这是在我们的“测试”环境(幸运)，但我需要得到一个适当的过程，因为我需要在另外两个森林中这样做。实际上，我很想在其他地区重建一个新的CA，而不是与所有这些进行斗争。我所要做的就是重新颁发子do的证书，让它正确工作，并在企业PKI中健康地报告！

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\OMNI- TST-CERTAUTH-01-CA-1\CRLPublicationURLs：

CRLPublicationURL REG_MULTI_SZ = 0: 65:C:\windows\system32\CertSrv\CertEnroll\%3%8%9.crl CSURL_SERVERPUBLISH -1 CSURL_SERVERPUBLISHDELTA -- 40 (64)

1: 79:ldap:///CN=%7%8,CN=%2,CN=CDP,CN=Public Key Services,CN=Services,%6%10
CSURL_SERVERPUBLISH -- 1
CSURL_ADDTOCERTCDP -- 2
CSURL_ADDTOFRESHESTCRL -- 4
CSURL_ADDTOCRLCDP -- 8
CSURL_SERVERPUBLISHDELTA -- 40 (64)

2: 134:http://pki.omni.phish/CertEnroll/%3%4%9.crl
CSURL_ADDTOCERTCDP -- 2
CSURL_ADDTOFRESHESTCRL -- 4
CSURL_ADDTOIDP -- 80 (128)

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\OMNI- TST-CERTAUTH-01-CA-1\CACertPublicationURL：

1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt REG_MULTI_SZ = 0: CSURL_SERVERPUBLISH -- 1

1: 3:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
CSURL_SERVERPUBLISH -- 1
CSURL_ADDTOCERTCDP -- 2

2: 32:http://%1/ocsp
CSURL_ADDTOCERTOCSP -- 20 (32)

3: 32:http://pki.omni.phish/oscp
CSURL_ADDTOCERTOCSP -- 20 (32)

4: 2:http://pki.omni.phish/CertEnroll/%3.crt
CSURL_ADDTOCERTCDP -- 2

Answer 1

CRLPublicationURLs

首先，您将发布到本地磁盘(C:\Windows\System32\CertSrv\CertEnroll\%3%8%9.crl)，但没有其他地方发布。现在，您可能有一个手动过程来上传这个CRL到CDP，在这种情况下，这是很好的。否则，您需要添加另一个url (例如，65:file://\server[share]\%3%8%9.crl，，其中服务器是CDP，共享是包含url的目录的共享)，以便CA自动将新的url发布到CDP。

第二，您使用的是http://pki.omni.phish//CertEnroll/%3%4%9.crl.的CDP。%4应该是%8。

在续订CA证书时，需要原始CA证书和CRL仍然可用，以便以前颁发证书的所有终端实体仍然工作。Microsoft通过在CRL名称中添加一个(1)来做到这一点，就在第一个替换证书(MMC中的证书#1 )的.crl扩展之前，以及用于下一次更新的(2)扩展之前等等。这是由CRLPublicationURLs注册表项中的%8配置的。

CAPublicationURLs

以http://pki.omni.phish/CertEnroll/%3.crt.的形式将URL添加到CA证书您需要在%3之后添加%4。

%4所做的工作类似于%8为CRLs所做的工作。没有它，CA证书名称将保持不变。

有三种不同的方法可以修复这些问题：

1. 您可以在CA Properties对话框上使用MMC下的扩展。然而，手术真的很笨拙。
2. 您可以使用certutil -setreg命令，但是必须覆盖所有设置--不能编辑一行。
3. 您可以在HKLM\SYSTEM\CurrentControlSet\Services\CertSrv\Configuration\[CA Name]直接编辑注册表。

我发现后者是最简单的。

在您接触生产之前，我可以建议您修改一些PKI和Microsoft吗？:-)