Hallo
ich habe ein Multidomainforest in dem ich von meinem Root DC ein Root Cert und ein Sub Cert mit certutil -dspublish veröffentliche habe. Das hat soweit gut geklappt, alle unteren DC und Clients haben diese Zertifikate erhalten.
Nun habe ich Root und Sub Cert erneuert und die alten Zertifikate über PKIVIEW aus den Containern entfernt.
Ich sehe nun das auf fast allen DC's diese Zertifikate weg sind. Die neuen Zertifikate wurden aber nicht mehr verteilt. Ich sehe aber in den Container die richtigen Zertifikate, ein erneutes ausführen von dspublish bringt auch nix da das Zertifikat ja schon vorhanden ist.
Certification Authorities = Root CA
NTAuth= SubCA
Enrollmet Services = Sub CA
AIA = Root CA; Sub CA
Im Autoenroll habe ich auch die Root Cert und Sub Cert hinterlegt, er packt mir aber das neue Root Cert in den Intermediate Store so das die Zertifikate dann als nicht vertrauenswürdig angesehen werden.
Ich verstehe nun nicht wie so er die Zertifikate nicht über alle DC verteilt obwohl das vorher der richtige weg war (natürlich mit ein bisschen Zeit aber es sind nun paar Tage rum)
Außerdem versteh ich nicht wie so er mir bei der GPO das Zertifikat in den falschen Store packt obwohl ich es unter Trusted Root Certification Authorities importiert habe.
Clients die das Zertifikat vorher nicht über die AD erhalten haben bekommen es über die GPO in den richtigen Store verteilt. Dort würde sich das Problem selber lösen.
Was mir auch aufegfallen ist das ich auf dem Root DC im Trusted Root Store mein Root cert sehe.
Beim Befehl von certutil -store -enterprise root aber nix aufgelistet wird