[решено] root CA - Компьютерный форум OSzone.net

При создании Root CA после изменения настроек CRL (листа отозванных сертификатов) сервис CA нужно остановить и запустить, он не запускается и выдает ошибку "A certificate chain processed, but terminated in a root certificate which is not trusted by trust provider". Лечится это импортом Root CA сертификата в Trusted Root Certification Authorities, после этого сервис запускается, но сертификат автоматически пропадает из этого OU и после остановки сервиса при следующем запуске возникает та же ошибка, приходится снова импортировать сертификат в Trusted Root Certification Authorities, разве это нормально? Возможно его нужно как-то "самоподписать" или он уже самоподписанный?
update: при чем в свойства root CA в оснастке CA во вкладке General, Certificate #0 отображается как expired, хотя действует до 34го года. После импорта в Trusted Root Certification Authorities можно запустить сервис CA, но сертификат пропадает из C:\Windows\System32\CertSrv\CertEnroll , и из Trusted Root Certification Authorities, и появляется только после того как сервис снова запускается с ошибкой (после остановки). Это еще и не дает опубликовать Root CA сертификат в AD.
update2: после операции renew CA certificate во вкладке General свойств Root CA оснастки CA Certificate #0 уже не числится как expired, зато таковым числится Certificate #1, и если повторить операцию, expired будет Certificate #2, остальные 2 - нет, при этом если сделать renew CA certificate с новым ключем, больше ошибок нет и все ключи отображаются нормально (не expired), но какой ключ нужно переносить на SubCA для публикации в AD, старый или обновленный с новым ключем (последний)?