Tras mover una Autoridad de Certificación corporativa a un nuevo servidor puede aparecer el temido “CDP location cannot be reached” en PKIView. Este artículo explica con detalle por qué sucede, cómo reparar los puntos AIA/CDP que siguen señalando al equipo antiguo y la estrategia óptima para renovar el certificado de la CA sin contratiempos.
Qué ocurre internamente al cambiar el nombre del servidor de la CA
Cuando se realiza un backup‑restore o una migración “swing” de la CA a un host con nombre distinto, todas las rutas inscritas en el certificado de la CA —Authority Information Access (AIA) y CRL Distribution Point (CDP)— conservan el FQDN anterior porque se graban en el momento de la instalación original. Las estaciones de trabajo y los servidores validan firmas comprobando esas URLs:
- AIA: dónde descargar el certificado de la CA para completar la cadena.
- CDP: dónde descargar la Lista de Revocación de Certificados (CRL) y la Delta CRL.
Si el hostname ya no existe o no resuelve en DNS, los clientes no pueden verificar firmas ni comprobar revocación. PKIView marca en rojo las rutas que no responden y muestra “Unable to download CRL”.
Diagnóstico rápido con PKIView y certutil
pkiview.msc ← muestra el estado de cada AIA/CDP
certutil –verify –url <ruta al .cer>
certutil –getreg CA\CACertPublicationURLs
certutil –getreg CA\CRLPublicationURLs
Compruebe si alguna salida contiene todavía pki.oldcorp.local o el nombre previo de la máquina.
Pasos recomendados para la corrección
Revisar y actualizar las extensiones en la propia CA
- Abra certsrv.msc, clic derecho en la CA → Propiedades → Extensiones.
- Seleccione “Extensiones de CRL Distribution Point (CDP)” y modifique:
- HTTP y LDAP: cambie
http://pki.oldcorp.local/CertEnroll/Corp-CA.crlahttp://pki.newcorp.local/CertEnroll/Corp-CA.crl. - FILE: actualice el UNC si mantiene copias en un recurso compartido.
- Marque únicamente “Publish CRLs to this location” cuando la ruta exista de verdad.
- HTTP y LDAP: cambie
- Repita el proceso en “Authority Information Access (AIA)” desmarcando “Publish CA certificate” en ubicaciones obsoletas.
- Haga clic en Aceptar, después reinicie el servicio Active Directory Certificate Services.
Limpiar restos de la CA antigua en Active Directory
La consola ADSI Edit permite eliminar artefactos que PKIView sigue detectando aun después de cambiar las extensiones locales.
adsiedit.msc
Ruta: CN=Public Key Services,CN=Services,CN=Configuration,DC=contoso,DC=com
- Dentro de CDP busque objetos con el FQDN antiguo y bórralos.
- Revise también AIA, Certification Authorities y Enrollment Services.
- Use “Propiedades” → Security para asegurarse de que la nueva CA conserva permisos de publicación.
Publicar de nuevo las CRL en la ubicación correcta
Después de modificar las extensiones es crucial publicar nuevas listas, pues los clientes no descargarán una CRL con rutas internas erróneas incrustadas.
certutil –crl
El comando genera la CRL y la Delta CRL con las URLs actualizadas y las copia a los destinos configurados.
Renovar el certificado de la CA cuando sea necesario
En la mayoría de migraciones conviene renovar inmediatamente el certificado de la CA (con o sin cambio de claves) porque:
- Fuerza la emisión de un Authority Certificate con el nuevo FQDN en AIA y CDP.
- Evita el sufijo numérico “(1)” que aparece por defecto al pulsar Renew si ya existe un certificado con el Subject Name anterior.
- Actualiza la firma de todas las CRL subsiguientes con la nueva key.
Paso a paso para renovar correctamente
- Abra certsrv.msc → clic derecho en la CA → Renew CA Certificate.
- Seleccione “Reuse keys” si sólo quiere refrescar extensiones o “Generate new key pair” para máxima seguridad.
- Reinicie el servicio y publique de nuevo la CRL (
certutil –crl).
Validación tras la corrección
Ejecute pkiview.msc desde un controlador de dominio —o una estación fuera del propio host de la CA— y verifique que:
- Las columnas de AIA y CDP aparecen en verde (OK).
- La fecha Next Update de la CRL es posterior a la hora actual.
- No queda ninguna referencia al hostname antiguo en las URLs mostradas.
Adicionalmente, validar un certificado emitido antes de la migración con:
certutil –verify –urlfetch usuario.pfx > resultado.txt
Las secciones “URL Retrieval” deben terminar en Successful.
Buenas prácticas para evitar errores futuros
| Práctica | Ventaja directa |
|---|---|
| Usar DNS Alias (CNAME) estable para la CA | Permite cambiar de host sin modificar los certificados existentes. |
| Publicar AIA y CDP en HTTP S3 o Azure Blob | Alta disponibilidad y menor carga sobre la CA. |
| Habilitar Delta CRL con intervalo < 1 día | Revocaciones rápidas sin bajar la CRL completa. |
Auditoría de eventos 4886‑89 | Detecta a tiempo fallos en publicación de CRL. |
Script de comprobación diaria con certutil –ping | Alerta automática si un CDP deja de responder. |
Referencia rápida: diferencias entre AIA y CDP
| Elemento | Contenido | Impacto en los clientes |
|---|---|---|
| AIA (Authority Information Access) | URL(s) donde se publica el certificado de la CA. | Sin acceso a AIA no se puede construir la cadena de confianza. |
| CDP (CRL Distribution Point) | URL(s) donde se publica la CRL y la Delta CRL. | Sin CDP accesible la validación de revocación falla y la firma se marca como indeterminada. |
Guía paso a paso completa (checklist)
- Realizar backup (System State + Private Key) antes de tocar nada.
- Cambiar las extensiones AIA/CDP en la consola de la CA.
- Eliminar rutas obsoletas en ADSI Edit.
- Publicar CRL y Delta CRL nuevas.
- Correr PKIView y certutil para verificar.
- Renovar el certificado de la CA si persiste el sufijo “(1)” o para actualizar SubjectAltName.
- Distribuir la nueva CA cer mediante directiva de grupo o script
certutil –addstore root. - Comprobar que los nuevos certificados de usuario/equipo se emiten sin warnings.
Solución confirmada en ambiente real
El administrador que reportó el incidente ejecutó los pasos descritos y confirmó que tras una segunda renovación controlada de la CA, PKIView pasó a mostrar todas las rutas en verde. Los equipos pudieron descargar la CRL sin latencia y los firmwares que dependen de OCSP dejaron de fallar.
Resumen práctico para administradores ocupados
- Corrija primero las URLs AIA/CDP en la pestaña Extensions.
- Limpie los objetos heredados en CN=Public Key Services.
- Publique nuevas CRLs y valide con PKIView.
- Renueve la CA para inyectar las rutas correctas en el certificado raíz.
Siguiendo este orden se elimina definitivamente el error “CDP location unreachable” tras un cambio de servidor o hostname de la Autoridad de Certificación.