Решил такую же проблему, которая возникает при попытке установить ЦР, но уже по другой причине.
Утилита certutil -verify -urlfetch сертификат.cer показала, что не может проверить список отзыва, который идет как разностный кажись, - с "+" на конце (test-ca+.crl). При запуске такого URL на ЦС (win2008, IIS7) - IIS выдал ошибку HTTP 404.11, связанную с модулем фильтрации запросов к IIS, содержащих последовательности двойного преобразования символов. Дефолтная настройка этого модуля не разрешала http запросы, при проверке отзыва сертификата, содержащего "+". Для включения разрешения таких запрсов, добавил в applicationHost.config (тот который надо править вручную при установке ЦС) в секцию <requestFiltering> параметр => <requestFiltering allowDoubleEscaping="true">. Теперь проверка CDP для разностных CRL проходит нормально.

Ранее этой же утилитой было обнаружено что в сертификаты по умолчанию вставляется вторая CDP начинающаяся на file:// - которая тоже не могла быть проверена. Кажись этот метод (file://)вообще в вин2008 не работает, точнее работает если вы эту CDP оформите как общедоступную папку и по NetBIOS она будет доступна, если этого не делать(если только http), то эту точку распространения лучше не активировать. Хотя в настройках ЦС по умолчанию она активирована. Приходилось убирать его в модуле выхода для CDP и AIA. А если ЦС не входит в домен то и ldap:// тоже.