我们有一个两层的 ADCS PKI,我们的中间 CA 的 AIA 的 URL 以 (1) 结尾(即:http://pki.example.com/certenroll/certificate(1).crt)当然不是存在。CA 扩展属性中的 URL 模板是正确的,所以我认为上次颁发证书时已经有一个同名的文件,所以它在文件名中添加了 (1)。如何“重新颁发”证书以更新 AIA URL?
CertUtil -GetReg 输出:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\example-Issuing-CA\CACertPublicationURLs:
CACertPublicationURLs REG_MULTI_SZ =
0: 1:C:\Windows\system32\CertSrv\CertEnroll\%1_%3%4.crt
CSURL_SERVERPUBLISH -- 1
1: 2:ldap:///CN=%7,CN=AIA,CN=Public Key Services,CN=Services,%6%11
CSURL_ADDTOCERTCDP -- 2
2: 2:http://pki.example.com/CertEnroll/%1_%3%4.crt
CSURL_ADDTOCERTCDP -- 2
CertUtil: -getreg command completed successfully.
感谢@CryptoGuy 回答我的根 CA 已为我的颁发 CA 颁发了两个证书,这就是为什么其中一个证书最后加上 (1) 的原因。