Настройка PKI Windows 2019

Привет!
Хочу подробнее разобраться с технологией PKI. Поднял в тестовой лабе виртуалки под это дело.
Настраивал по этому гайду https://habr.com/ru/company/microsoft/blog/349202/
Есть небольшое отличие по кол-ву машин и разнесению ролей от указанного в статье.
1 - DC-01 - + IIS
2 - DC-02 - + издающий CA
3 - RCA - Рутовый СА
4 - Win10 - Клиентская машина (установлен RSAT)

Все настройки проделаны, дошел до проверки связи иерархии ЦС и доступности всех внешних файлов для клиентов и получил ошибку:



При этом если перехожу по указанному URLу на втором скрине (где ошибка, что не может загрузить .crt), файл скачивается без проблем, проверял на клиентской ОС win10 с установленным RSAT
Ни могу понять с чем связана эта ошибка. Подскажите в какую сторону капать

Не занимался этим. (

Но детали Error сообщения хотелось бы посмотреть, имеются таковые?

Log Name:      Application
Source:        Microsoft-Windows-CertificationAuthority
Date:          7/13/2021 8:47:31 PM
Event ID:      96
Task Category: None
Level:         Error
Keywords:      
User:          SYSTEM
Computer:      DC-02.vini.pux
Description:
Active Directory Certificate Services could not create an encryption certificate.  Requested by VINI\viktor.  The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).
Event Xml:
<Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
  <System>
    <Provider Name="Microsoft-Windows-CertificationAuthority" Guid="{6a71d062-9afe-4f35-ad08-52134f85dfb9}" />
    <EventID>96</EventID>
    <Version>0</Version>
    <Level>2</Level>
    <Task>0</Task>
    <Opcode>0</Opcode>
    <Keywords>0x8000000000000000</Keywords>
    <TimeCreated SystemTime="2021-07-13T14:47:31.565249100Z" />
    <EventRecordID>7072</EventRecordID>
    <Correlation />
    <Execution ProcessID="2524" ThreadID="5864" />
    <Channel>Application</Channel>
    <Computer>DC-02.vini.pux</Computer>
    <Security UserID="S-1-5-18" />
  </System>
  <EventData Name="MSG_E_CANNOT_CREATE_XCHG_CERT">
    <Data Name="Disposition">Requested by VINI\viktor</Data>
    <Data Name="ErrorCode">The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)</Data>
  </EventData>
</Event>

Хотя CRL лежит на этом же сервере. Почему он не доступен, не понятно

Переинсталил роль ADCS на издающем СА, pkiview теперь не ругается

1 Like