Moin,
werden die AIA und CDP tatsächlich direkt auf der Root CA bereitgestellt oder handelt es sich um ein Alias im DNS?
Falls die Informationen direkt auf der Root CA bereit gestellt werden, muss diese permanent online sein ... wo auch immer die 30 Tage herkommen mögen erschließt mir aktuell nicht.
Wie ist der Status von CDP und AIA der Sub CA im pkiview?
Kannst Du die urls für CDP und AIA im Browser öffnen und bekommst Du dann das Root-Zertifikat und die Sperrliste zum Download? Sind diese Dateien aktuell?
Eventuell mal den crl cache der Sub CA leeren und dann mal den Sperrlistenabruf prüfen (die url kannst Du aus pkiview kopieren)
certutil -urlcache crl delete
certutil -url http://../...crl
Dabei den Abruf für die Sperrlisten der Root und Sub CA testen.
This posting is provided AS IS with no warranties.
