如何調試缺少的企業根 ca 證書？

我們有一個帶有 Windows 2008 R2 AD 集成 SubCA 的 openssl 離線根 CA。

Openssl 根 CA 發佈到 ldapCN=ROOTCANAME,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=DOMAIN使用certutil -dspublish -f root.cer RootCA

一切正常，除了一件事。到目前為止，出現了兩個客戶端（均為 XP），它們沒有將根 CA 證書導入受信任的企業根證書頒發機構儲存。

在我的工作工作站上，我得到以下輸出：

C:\>certutil -store -enterprise root
402.203.0: 0x80070057 (WIN32: 87): ..CertCli Version
================ Certificate 0 ================
Serial Number: f818516373f917e8
Issuer: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Subject: E=hostmaster@DOMAIN, CN=ROOTCA, O=Organisation, L=Location, S=State, C=DE
Signature matches Public Key
Root Certificate: Subject matches Issuer
Cert Hash(sha1): a6 ed 80 59 04 80 c7 1f 4e cb aa e1 8d e7 77 4a 2a 98 43 97
No key provider information
No stored keyset property
CertUtil: -store command completed successfully.

在不導入根 CA 證書的工作站上。輸出是：

C:\>certutil -store -enterprise root
CertUtil: -store command completed successfully.

即使在手動導入證書之後。這台特定的機器甚至重新加入了域。無濟於事。

現在的問題是：

• 在哪裡查找錯誤或調試資訊？
• 如何辨識有此問題的機器？
• 如何手動觸發導入 ldap 證書？
• 這是分髮根 ca 證書的正確方法嗎？我更喜歡不使用組策略進行簡單分發，但另一方面找不到有關 ldap 分發過程的太多資訊。

需要檢查的幾件事：

• 此客戶端是否已禁用證書自動註冊？缺乏自動註冊可以解釋缺乏進口。
• 由於手動導入，證書是否在受信任的根儲存中，而不是在企業信任容器中？檢查受信任的根儲存中的電腦帳戶certmgr.msc。
• 它是否可能被導入然後由於某種原因被刪除？如果它認為它已經被導入，那麼它不會再次導入；清除 下的子鍵HKLM\Software\Microsoft\Cryptography\AutoEnrollment\AEDirectoryCache，然後使用 重新執行自動註冊certutil -pulse。

引用自：https://serverfault.com/questions/352722