Novo no teste de autenticação de cartão inteligente no ambiente de domínio do Windows
Segui o guia de Yubikey para permitir o uso de cartões inteligentes para login no servidor Windows. Também fiz a opção de autoinscrição para que os clientes possam se inscrever na opção de certificado de chave inteligente.
A princípio diz que o servidor de revogação estava offline (durante o cadastramento), porém, isso ocorre porque no meu CDP (CRL Distribution Point) não coloquei um endereço de servidor para que os clientes pudessem recuperar a lista crl. Depois de fazer isso (é acessível a partir de todos os clientes e pode ser baixado) e resolvível, isso me permitiu inscrever um certificado.
No entanto, quando tento fazer login novamente usando um cartão inteligente, aparece a mensagem "O certificado do cartão inteligente usado para autenticação não era confiável"
Verifiquei meus logs de eventos, especificamente segurança e CAPI2, mas nada corresponde ao login específico do cartão inteligente. Achei que precisava adicionar manualmente o certificado dos certificados emitidos aos certificados do computador e aos certificados do usuário, mas ainda assim não funcionou. Perdi algumas configurações ou algo assim?
#Edit 1 Estou usando uma hierarquia PKI de duas camadas. Usando aproximadamente este guia https://learn.microsoft.com/en-us/previous-versions/windows/it-pro/windows-server-2012-R2-and-2012/hh831348(v=ws.11)