This is an old revision of the document!
Обновление CRL offline Root CA
В иерархическом PKI многоуровнего типа (с offline root CA) - есть шанс столкнуться с проблемой при выпуске сертификатов. Запрос к ЦС на издание сертификата будет отклонен, а в ЦС можно будет найти следующее описание ошибки:
The revocation function was unable to check revocation because the revocation server was offline
При этом, точки публикации CRL (http, smb) могут быть вполне доступны.
Скорее всего, проблема состоит в том, что подчиненный CA пытается найти списки отозванных сертификатов корневого центра, но, т.к. корневой ЦС находится в offline - он их не публикует. Соответственно, нам необходимо включить корневой ЦС и выпустить CRL, а затем скопировать его в точку публикации списков отозванных сертификатов.
При недоступных списках отозванных сертификатов сервис CA может вообще не стартовать. Если необходимо заставить заработать ЦС срочно - можно временно сказать CA не проверять отозванные сертификаты. Это можно сделать командой:
certutil –setreg ca\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE
Исправление проблемы на корневом ЦС
Во-первых - можно посмотреть срок жизни и интервал публикации CRL и поправить его в соответствии с потребностями. Этот срок определяет время, в течение которого нам необходимо включить корневой ЦС и выпустить его CRL, чтобы подчиненные центры не перестали работать.
Для этого открываем оснатску certificate authority и заходим в свойства вкладки revoked certificates, где и выставляем периодичность публикации.
Пример для полугодичного интервала обновлений:
