Ein Zertifikat einer Stammzertifizierungsstelle wurde zum lokalen Stamminformationsspeicher des Unternehmens hinzugefügt.
Die Ketten- oder Pfadüberprüfung bezeichnet den Prozess, bei dem die Zertifikate der Endeinheit (Benutzer oder Computer) und alle Zertifikate der Zertifizierungsstelle hierarchisch verarbeitet werden, bis die Zertifikatskette bei einem vertrauenswürdigen, selbstsignierten Zertifikat beendet wird. In der Regel ist dies ein Zertifikat einer Stammzertifizierungsstelle. Beim Start der Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) kann ein Fehler auftreten, wenn Probleme mit der Verfügbarkeit, der Gültigkeit und der Kettenüberprüfung für das Zertifizierungsstellenzertifikat auftreten.
Veröffentlichen Sie ein Stammzertifikat der Zertifizierungsstelle für Active Directory-Domänendienste.
Wenn die Zertifizierungsstelle erst kürzlich installiert wurde, kann eine Instanz dieses Fehlers als normal betrachtet werden.
Wenn dieser Fehler bestehen bleibt oder die Clients ähnliche Fehler erkennen, können Sie das Stammzertifikat manuell für die Active Directory-Domänendienste (AD DS) veröffentlichen.
Zum Ausführen dieses Verfahrens müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So veröffentlichen Sie ein Stammzertifikat für die Active Directory-Domänendienste
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE.
Geben Sie certutil -f -dspublish <CAcert.cer> RootCA ein, und drücken Sie die EINGABETASTE.
Die Zertifikatdatei der Stammzertifizierungsstelle befindet sich in %windir%\system32\certsrv\certenroll. Ersetzen Sie "CAcert.cer" durch den Namen der Datei, die das Zertifikat der Stammzertifizierungsstelle enthält.
So bestätigen Sie, dass das Zertifizierungsstellenzertifikat und die Kette gültig sind
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, geben Sie mmc ein, und drücken Sie dann die EINGABETASTE.
Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, überprüfen Sie, ob die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Fortfahren.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Zertifikate und Hinzufügen.
Klicken Sie auf Computerkonto, und klicken Sie dann auf Weiter.
Klicken Sie auf Fertig stellen und dann auf OK.
Klicken Sie in der Konsolenstruktur auf Zertifikate (Lokaler Computer) und dann auf Eigene Zertifikate.
Bestätigen Sie, dass in diesem Informationsspeicher kein abgelaufenes Zertifizierungsstellenzertifikat vorhanden ist.
Klicken Sie mit der rechten Maustaste auf dieses Zertifikat, und wählen Sie Exportieren aus, um den Zertifikatexport-Assistenten zu starten.
Exportieren Sie das Zertifikat in eine Datei namens "Cert.cer".
Klicken Sie auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE.
Geben Sie certutil -urlfetch -verify <cert.cer> ein, und drücken Sie die EINGABETASTE.
Die Kette ist gültig, wenn bei der Überprüfung, Kettenerstellung oder Sperrenprüfung keine Fehler gemeldet werden.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 103 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.103" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">103</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>