none
Корректное обновление сертификата ЦС с установленным сетевым ответчиком. RRS feed

  • Общие обсуждения

  • Доброго времени суток.

    Столкнулся со сбоем в работе сетевого ответчика, после окончания срока старого сертификата ЦС.

    До этого был заранее запрошен и установлен новый сертификат ЦС, поскольку предыдущий сертификат под именем CA

    был валиден, новый получил в сетевом ответчике имя CA(1). Как только старый сертификат истек, сетевой ответчик удалил его и переименовал новый в CA. 

    Из-за этого и возникли проблемы в работе, поскольку в сертификатах путь был указан в виде http://ca.local/pki/CA(1).crt

    Как производить обновление сертификата ЦС более корректно, не допуская подобного в будущем?

    12 марта 2018 г. 8:15

Все ответы

  • Закрытый ключ при обновлении ЦС старый оставили?

    Во избежание проблем лучше обновлять И сертификат И закрытый ключ ЦС.

    12 марта 2018 г. 10:22
  • Нет, новый. С сертификатами проблемы нет. Проблема в имени сертификата.
    12 марта 2018 г. 10:46
  • Посмотрите информацию по ссылкам ниже:

    https://social.technet.microsoft.com/Forums/windowsserver/en-US/0fd30074-fcc4-4970-b4b9-8b70c43c9a29/ocsp-responder-unsuccessful-after-ca-cert-renewal?forum=winserversecurity

    https://blogs.technet.microsoft.com/xdot509/2013/06/06/operating-a-pki-ca-certificate-renewals-and-ocsp/

    12 марта 2018 г. 11:03
  • Благодарю, но как мне исправить:

    Authority Info Access
         Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
         Alternative Name:
              URL=http://url/pki/CA(1).crt

    На

    Authority Info Access
         Access Method=Certification Authority Issuer (1.3.6.1.5.5.7.48.2)
         Alternative Name:
              URL=http://url/pki/CA.crt

    ?

    12 марта 2018 г. 20:20
  • AIA настраивается в свойствах ЦС.

    Посмотрите еще, что показывает PKIView.msc


    13 марта 2018 г. 5:07
  • В свойствах ЦС, настройки аналогичны. PKIView.msc вижу не валидный сертификат, удалить его?

    13 марта 2018 г. 5:39