none
Обновление сертификата подчиненного центра сертификации RRS feed

  • Вопрос

  • Добрый вечер,

    Имеем оффлайн корневой и подчинённый центры сертификации - оба windows server 2016 en.

    После перевода с sha1 на sha256 обновляю сертификаты ЦС со старыми ключами. Корневой обновился без проблем, а с подчиненным проявилась проблема.

    При запросе на обновление из оснастки подчиненного ЦС - "CA > All Tasks > Renew CA Certificate", без генерации новой пары ключей  - создаётся файл запроса, импортирую его на коневой ЦС, подтверждаю, экспортирую "cer". Импортирую его на подчинённый ЦС и выясняется, что нет закрытого ключа. В оснастке сертификатов только подтвержденный открытый ключ, т.е. на первых шагах файл запроса создался а закрытый ключ нет?

    При выполнении запроса на обновление сертификата с командной строки, файл запроса также создаётся, однако есть сообщение о ошибке:

    certutil -f -renewcert ReuseKeys "NameComp\NameCA"

     -renewCert command FAILED: 0x80070015 (WIN32: 21 ERROR_NOT_READY)
     The device is not ready.

     Как, после запроса на обновление сертификата, при наличии сформированного файла запроса, можно проверить, что сам запрос прошел успешно, перед подтверждением его в корневом ЦС


    • Изменено admin.soft 19 октября 2017 г. 18:51
    19 октября 2017 г. 18:42

Все ответы

  • Попробуйте так:

    certutil -renewcert -f ReuseKeys "NameComp\NameCA"

    20 октября 2017 г. 13:09
  • Попробуйте так:

    certutil -renewcert -f ReuseKeys "NameComp\NameCA"

    Увы, не помогло - ошибка осталась таже

    • Изменено admin.soft 20 октября 2017 г. 17:43
    20 октября 2017 г. 16:49
  • Перед этим миграцию инфраструктуры CA на WS 2016 не осуществляли?

    Посмотрите вот эту тему:

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/a7b3b650-ec61-4a56-b521-8a0fdba8d916/trouble-renewing-a-subordinate-certificate?forum=winserversecurity

    23 октября 2017 г. 6:38
  • Вечер добрый, да миграция была.

    Спасибо за ссылку, но у меня ситуация запутаннее, так как файл запроса формируется, но к нему нет закрытого ключа. После подтверждения и импорта я вижу только публичную часть сертификата.

    23 октября 2017 г. 15:28
  • вопрос решился переустановкой сервера, хотя при этом ошибка опубликованная в первом посте осталась, но, в итоге сертификат стал с полной парой ключей
    23 октября 2017 г. 18:01
  • Хотел вам ещё предложить запросить сертификат для SubCA с генерацией новой пары ключей.
    24 октября 2017 г. 6:25