Все работало хорошо, а потом вдруг при попытке запуска службы на Enterprise CA в Application логе появляется две ошибки:
event id 48
Revocation status for a certificate in the chain for CA certificate 0 for CRM1-ENTCA01 could not be verified because a server is currently unavailable. The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).
event id 100
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. CRM1-ENTCA01 The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).
отключение CRL
Опубликовано пользователем manager
В ошибке ясно указано, что не удается проверить "certificate 0" используемый CA. Чтобы начать расследование нужно запустить службу CA. Для этого отключим проверку списка отозванных сертификатов (Certificate revocation list, CRL)
certutil –setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
перезагружаем сервер и стартуем сервис CA
Запускаем оснастку Certification Authority, правой клавишей щелкаем на нашем сервере и выбираем Properties
На вкладке General смотрим список сертификатов, выбираем Certificate #0 и жмем View certificate. Выбираем закладку Details и смотрим поле CRL Distribution Points. Проверяем доступны ли расположения из списка.
В сертификате в CRL
Опубликовано пользователем manager
В сертификате в CRL distribution points указана файловая шара на ROOT CA который должен находится в отключенном состоянии.
ROOTCA -> ENTCA -> clients
Как быть в этом случае, как изменить в сертификате поле CRL distribution points?
изменить поле нельзя
Опубликовано пользователем manager
Изменить данное поле в сертификате нельзя.
Нужно на ROOTCA изменить настройки CLR Distribution Point (CDP), оснастка Certification Authority - Properties - Extensions tab.
На ENTCA обновить сертификат используемый службой CA, оснастка Certification Authority - All Tasks - Renew CA Certificate. При этом все сертификаты выпущенные ранее на ENTCA остануться действительными.
Теперь нужно включить проверку CRL на ENTCA:
certutil –setreg ca\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE
и проверить, что рестарт сервиса проходит успешно.