none
迁移CA正常使用一段时间后,在企业PKI管理界面,发现”CDP位置“警告! RRS feed

  • 问题

  • CA服务,在Windows 2008,经过Windows 2012R2中转后,最终成功迁移到Window 2016运行。

    使用一段时间正常,后来发现在企业PKI管理界面中,CDP位置有警告。

    不知道是否这样,导致Exchange 2016的多域名证书,出现“”吊销检查失败“。

    请问,如何排查?

    2020年7月2日 7:38

答案

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述,我们的CA是一层的,是吗?截图显示CDP位置过期,我们可以尝试以下解决措施:

    1,打开CA,右击“Revoked Certificates”-->"All Task"-->"Publish"-->"New CRL"-->"OK"。

    2,然后刷新下企业PKI,查看问题是否可以解决。



    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月3日 3:11

全部回复

  • 尊敬的客户,您好!

    感谢您在我们的TechNet论坛发帖。

    根据我们的描述,我们的CA是一层的,是吗?截图显示CDP位置过期,我们可以尝试以下解决措施:

    1,打开CA,右击“Revoked Certificates”-->"All Task"-->"Publish"-->"New CRL"-->"OK"。

    2,然后刷新下企业PKI,查看问题是否可以解决。



    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月3日 3:11
  • Hannah Xiong,

    CA就是一层的。

    根据你提供的办法,我操作后,CDP位置警告,消失了,正常了,谢谢!

    请问,这是何原因导致?日后,我都需要这样手动处理吗?有办法,避免每次手动处理吗?

    CA正常后,我查看了Exchange 2016的多域名证书状态,还是处于“吊销检查失败”,请问,是需要时间同步检查,还是说,能手动检查?谢谢!



    2020年7月3日 5:26
  • 尊敬的客户,您好!

    不客气,很高兴听到问题得到解决。非常感谢您的反馈。

    一般来说是因为证书吊销列表过期了。证书吊销列表一般是一周自动更新并发布的。如果因为其他原因,无法更新并发布的话,就会显示过期。这个时候需要我们手动发布。



    因为之前CRL过期,可能导致很多证书不能通过证书吊销检查,会处于“吊销检查失败”的状态。证书吊销列表正常可以使用后,是会自动检查的,应该不需要手动检查。

    如有问题,请随时联系我们。感谢您的理解和支持!

    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月7日 7:04
  • Hannah Xiong,

    感谢你的回复,CA恢复正常后,应该有4天了,Exchange 2016的多域名证书,还是处于“吊销检查失败”。

    我补充说明一下,Windows 2008 CA 迁移至 Windows 2016 CA,服务器的名字是不一样了。

    对于旧的多域名证书,会否因为CA的服务器名字不同,导致检查不到旧服务器,而影响检查结果?

    我需要将Exchange 2016的对域名证书,续订或重新申请,分配使用吗?

    还是说,继续等待几天,看看Exchange 2016的多域名证书状态?

    谢谢!

    2020年7月7日 8:03
  • 尊敬的客户,您好!

    我们提到的exchange 2016的多域名证书,是指的什么样的证书?很抱歉,我不是很理解多域名的概念。另外,是所有的Exchange的证书都出现这样的问题吗?还是说我们提到的exchange 2016的多域名证书就是指的一张证书?

    如果CA的名字没有变化的话,应该不影响吊销检查。根据我的理解,我们迁移CA到新的服务器上面,虽然服务器的名字不一样了,但是CA的名字应该是一样的。证书都是CA颁发的,服务器的名字变化应该不会影响证书的。

    另外,我们可以登录Exchange服务器,通过IE访问证书吊销列表,(输入对应的CDP位置)检查是否可以访问。如果可以访问的话,证书吊销列表的日期是不是最新的。如图:




    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月8日 8:48
  • Hannah Xiong,

    我们暂时,不讨论Exchange 2016 多域名证书的问题。

    CA的名字,没有变化,只是CA服务器的名字变了。我是参考如下的连接,进行CA迁移。

    https://blog.51cto.com/sodaxu/1426536

    回到CA证书吊销列表检查的问题。

    登录的Exchange服务器,分别访问了证书服务首页(可以),CDP位置网页(不可以)。

    请问,如何排查处理?是权限的问题吗?因为禁止访问,导致Exchange证书吊销检查失败吗?

    谢谢!

    2020年7月9日 5:29
  • 尊敬的客户,您好!

    感谢您的回复。

    我查看了下您提供的链接,文章中说明了迁移CA到新的服务器,并且服务器的名称不一样。登录的Exchange服务器不能访问CDP位置,请问,我们是否访问的正确的CDP位置?正确的访问位置如下图:



    例如,如果我们访问的是http://ca.book.com/CertEnroll(ca.book.com是我的CA服务器名称),就会出现禁止访问的报错。所以这里想再跟您确认下确保无误。




    另外的话,建议我们检查下CertEnroll文件夹的权限,打开Web server,查看C盘下的CertEnroll文件夹权限,如下图:




    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。

    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月13日 8:30
  • Hannah Xiong,

    现在的CA服务器名(vcb.abc.local),就是CDP的连接位置(http://vcb.abc.local/CertEnroll)。

    旧的CA服务器名(vca.abc.local)。在Exchange多域名证书中,CRL还是指向旧的服务器名。

    查看了权限,好像没有问题。

    现在,我在DNS加了一个CNAME记录,vca指向vcb,看看Exchange能否访问成功?

    2020年7月14日 8:56
  • Hannah Xiong,

    经过添加DNS的CNAME记录,旧的CA服务器名,指向新的CA服务器。

    今天查看,Exchange的多域名证书状态,正常了。

    应该是旧证书,还是根据旧CA服务器名进行检查,访问通了,就能利用新的CA对比,判断有效。

    谢谢你提供的方法,协助跟进,问题得到分析和解决。

    2020年7月15日 9:10
  • 尊敬的客户,您好!

    不客气。非常感谢您的反馈。很开心听到我们的问题已经得到解决了,Exchange的证书状态现在正常了。

    感谢您在此论坛分享此问题和解决方法。也非常感谢您将我的回复标记为答案。再次感谢您的支持。


    此致,
    Hannah Xiong

    针对Windows 2008/2008R2的扩展支持将于2020年结束,之后微软将不再为其提供安全更新。点击此处或扫描二维码获取《在 Azure 上运行 Windows Server 的终极指南》,把握良机完成云迁移并实现业务现代化。


    Please remember to mark the replies as answers if they help.
    If you have feedback for TechNet Subscriber Support, contact tnmff@microsoft.com.

    2020年7月16日 2:21