В настоящее время я настраиваю новую внутреннюю инфраструктуру Windows PKI в нашей организации, чтобы заменить старую настройку.
в основном нормально, но местоположение OCSP имеет статус «Ошибка» в консоли pkiview. Когда я проверяю сертификат с помощью certutil ( certutil -URL test-certificate.cer или certutil -urlfetch -verify test-certificate.cer ), он отображается как проверенный. Итак, респондент, похоже, работает.
Кто-нибудь знает, почему статус ошибки может отображаться в pkiview? Или где найти соответствующие журналы об этой ошибке?
Дополнительная информация о настройке:
При поиске проблемы я обнаружил, что это могло быть из-за устаревшего CA -Свидетельство обмена . Но обновление не помогло.
Обновление
Я тестировал это с помощью Wireshark, и при запуске pkiview запрос ocsp фактически не выполнялся. При запуске certutil -URL test-certificate.cer Wireshark четко показывает запрос и ответ ocsp.
Еще после некоторого поиска я понял это.
Для ocsp серверов респондента я использовал тот же массив в качестве старой установки pki, так как можно просто добавить несколько конфигураций к массиву.
, Когда эти серверы были настроены, я следовал это руководство для получения более хорошего URL для ocsp местоположения. ( http://ocsp.domain.com вместо http://ocsp.domain.com/ocsp ) Это включенное создание нового сайта IIS и редактирование файла конфигурации IIS.
Это хорошо работало для клиентов в в прошлом и все еще делает. Но, кажется, вызывает ошибку в pkiview. В прошлом ocsp местоположение не было добавлено к сертификатам конечной точки. Это просто использовалось для одного приложения, которое имело URL в, он - файл конфигурации. Таким образом, это не обнаружилось в pkiview.
, Когда мы вернулись назад к стандартной конфигурации IIS и возобновили сертификат CAExchange, ошибка ушла.