none
CA не запускается. Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613). RRS feed

  • Вопрос

  • Есть домен, в котором настроен изолирован корневой ЦС и подчиненный ЦС предприятия в домене. На подчиненном ЦС, далее SubCA после перезагрузки - не запускается служба сертификации, с сообщениями в журнале:

    Тип события: Ошибка
    Источник события: CertSvc
    Категория события: Отсутствует
    Код события: 100
    Дата:  25.08.2009
    Время:  10:59:52
    Пользователь:  Н/Д
    Компьютер: SubCA
    Описание:
    Службы сертификации не запущены. Не удается загрузить или проверить текущий сертификат ЦС. Domain Sub CA Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613).

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".




    Тип события: Предупреждение
    Источник события: CertSvc
    Категория события: Отсутствует
    Код события: 48
    Дата:  25.08.2009
    Время:  10:59:52
    Пользователь:  Н/Д
    Компьютер: SubCA
    Описание:
    Не удалось проверить состояние отзыва для сертификата в цепочке сертификатов ЦС 0 для Domain Sub CA, поскольку сервер в данный момент недоступен.  Невозможно проверить функцию отзыва, т.к. сервер отзыва сертификатов недоступен . 0x80092013 (-2146885613).

    Дополнительные сведения можно найти в центре справки и поддержки, в "http://go.microsoft.com/fwlink/events.asp".



    Проверил путь в реестре
    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 1\CertDllVerifyRevocation\DEFAULT
    Значение : cryptnet.dll


    Включил корневой ЦС, перезагрузил подчиненный ЦС - не запускается.
    Помогите решить проблему.

    25 августа 2009 г. 8:24

Все ответы

  • Проблема решена, тему можно закрывать.
    Помогло certutil -setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
    27 августа 2009 г. 6:49
  • Проблема , конечно решена - но не лучшим путем. Отключать проверку на отзыв я бы не стал

    Лучше либо на подчиненном ЦС устанавливать CRL и сертификат корневого в локальное хранилище
    certutil -addstore root <>.cer
    certutil - addstore ca <>.crl

    И заглядывая в будущее, при планировании замены сертификата подчиненного ЦС, на корневом настроить AIA и CDP , таким образом, чтобы подчиненный ЦС мог до них достучаться. Затем, перезапустить службы сертификации, перевыпустить CRL, обновить сертификат подчиненного ЦС.
    Разместить rootCRL и root сертификат, по указанным в CDP и AIA местам.
    До установки обновленного сертификата подчиненного ЦС проверить доступность CDP и AIA командой
    certutil -verify -urlfetch <обновленный подчиненный>.cer и если команда выполнится без ошибок - вот тогда уже установить обновленный сертификат подчиненному ЦС , например командой
    certutil -installcert <обновленный подчиненный>.cer
    запустить ЦС net start certsvc

    17 сентября 2009 г. 11:42