Temos um ADCS PKI de duas camadas e nossa CA intermediária tem o URL para o AIA terminando em (1) (ou seja: http://pki.example.com/certenroll/certificate(1).crt ), o que obviamente não existir. O modelo de URL nas propriedades de extensão da CA está correto, então acho que na última vez que o certificado foi emitido, já havia um arquivo com o mesmo nome, então foi adicionado (1) ao nome do arquivo. Como faço para "reemitir" o certificado para que o URL AIA seja atualizado?
Saída CertUtil -GetReg:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\example-Issuing-CA\CACertPublicationURLs:
CACertPublicationURLs REG_MULTI_SZ =
0: 1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
CSURL_SERVERPUBLISH -- 1
1: 2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
CSURL_ADDTOCERTCDP -- 2
2: 2:http://pki.example.com/CertEnroll/%1_%3%4.crt
CSURL_ADDTOCERTCDP -- 2
CertUtil: -getreg command completed successfully.
Obrigado a @CryptoGuy pela resposta de que minha CA raiz emitiu dois certificados para minha CA emissora e é por isso que um dos certificados tinha um (1) anexado no final.