pkiview.mscのOCSPロケーションエラー。しかし、OCSPレスポンダーは機能しているようです
私は現在、古いセットアップを置き換えるために、組織内に新しい内部WindowsPKIインフラストラクチャをセットアップしています。
ほとんど問題ありませんが、OCSPの場所のpkiviewコンソールのステータスは「エラー」です。 certutil(certutil -URL test-certificate.cerまたはcertutil -urlfetch -verify test-certificate.cerを使用して証明書を確認すると))検証済みとして表示されます。したがって、レスポンダーは機能しているようです。
エラーステータスがpkiviewに表示される理由を誰かが知っていますか?または、このエラーに関連するログはどこにありますか?
セットアップに関するその他の情報:
- 画像でわかるように、これはオフラインルートCAとドメインが参加した発行CAを持つ2層PKIです。
- AIAとCDPの場所は、2つのUbuntuベースのNginxサーバーにあり、HAの目的でkeepalivedされています。
- Nginxサーバー上のスクリプトは、15分ごとに発行CAから新しいCRLをフェッチします。
- 同じ2つのUbuntuサーバーには2番目のNginxサーバーブロックがあり、ロードバランサーを実行してocsp要求を2つのocspレスポンダーサーバーに送信します。このように、証明書には1つのocsp URLのみを含めることができ、クライアントは1つのocspレスポンダーがダウンしたときにタイムアウトを待つ必要がありません。
問題をグーグルで調べたところ、 これは古いCA-Exchange証明書が原因である可能性があります であることがわかりました。しかし、それを更新しても役に立ちませんでした。
更新
これをWiresharkでテストしましたが、pkiviewを起動すると、実際にはocspリクエストは行われません。 certutil -URL test-certificate.cerを実行すると、Wiresharkはocspの要求と応答を明確に示します。
さらに検索した後、私はそれを理解しました。
Ocspレスポンダーサーバーでは、アレイに複数の構成を追加するだけでよいため、古いpkiセットアップと同じアレイを使用しました。
これらのサーバーがセットアップされたとき、私は このガイド に従って、ocspの場所のより良いURLを取得しました。 ( http://ocsp.domain.com の代わりに http://ocsp.domain.com/ocsp )これには、新しいIISサイトとIIS構成ファイルの編集。
これは過去のクライアントにとっては問題なく機能しましたが、今でも機能しています。しかし、pkiviewでエラーが発生するようです。以前は、ocspの場所はエンドポイント証明書に追加されていませんでした。これは、構成ファイルにURLが含まれている1つのアプリケーションに使用されただけです。そのため、pkiviewには表示されませんでした。
標準のIIS構成に戻し、CAExchange証明書を更新すると、エラーは解消されました。