Ошибка расположения OCSP в pkiview.msc. Но респонденты OCSP, похоже, работают

В настоящее время я настраиваю новую внутреннюю инфраструктуру Windows PKI в нашей организации, чтобы заменить старую настройку.

в основном нормально, но местоположение OCSP имеет статус «Ошибка» в консоли pkiview. Когда я проверяю сертификат с помощью certutil ( certutil -URL test-certificate.cer или certutil -urlfetch -verify test-certificate.cer ), он отображается как проверенный. Итак, респондент, похоже, работает.

Кто-нибудь знает, почему статус ошибки может отображаться в pkiview? Или где найти соответствующие журналы об этой ошибке?

Дополнительная информация о настройке:

• Как вы можете видеть на изображении, это двухуровневая PKI с автономным корневым ЦС и доменом, присоединенным к выдающему ЦС.
• Адреса AIA и CDP расположены на двух серверах Nginx на базе Ubuntu, с сохранением активности для целей высокой доступности.
• Сценарий на серверах Nginx получает новый список отзыва сертификатов от выдающего центра сертификации каждые 15 минут.
• Те же два Ubuntu На серверах есть второй серверный блок Nginx, который запускает балансировщик нагрузки для направления запросов ocsp на два сервера-респондента ocsp. Таким образом, сертификаты могут содержать только один URL-адрес ocsp, и клиентам не нужно ждать тайм-аутов, когда один респондент ocsp не работает.

При поиске проблемы я обнаружил, что это могло быть из-за устаревшего CA -Свидетельство обмена . Но обновление не помогло.

Обновление

Я тестировал это с помощью Wireshark, и при запуске pkiview запрос ocsp фактически не выполнялся. При запуске certutil -URL test-certificate.cer Wireshark четко показывает запрос и ответ ocsp.