Eine Zertifikatanforderung wurde abgelehnt.
Eine der primären Funktionen einer Zertifizierungsstelle ist das Auswerten von Zertifkatanforderungen von Clients sowie das Ausstellen von Zertifikaten für diese Clients, wenn die Zertifikate den vordefinierten Kriterien entsprechen. Für eine erfolgreiche Zertifikatregistrierung sind eine Reihe von Elementen erforderlich, bevor die Anforderung übermittelt wird: Zertifizierungsstelle (CA) mit gültigem CA-Zertifikat, ordnungsgemäß konfigurierte Zertifikatvorlagen, Clientkonten und Zertifikatanforderungen sowie eine Möglichkeit für den Client zum Übermitteln der Anforderung an die Zertifizierungsstelle, zum Überprüfen der Anforderung und zum Installieren des ausgestellten Zertifikats.
Bedingungen entfernen, die die Genehmigung einer Zertifikatanforderung verhindern
Probleme bei der Kettenerstellung sind eine häufige Ursache für Fehler bei Zertifikatanforderungen. Verwenden Sie das folgende Verfahren, um die Zertifikatskette für die Zertifizierungsstelle zu überprüfen und alle erkannten Fehler zu beheben:
Bestätigen Sie die Benutzerkontoinformationen in den Active Directory-Domänendiensten.
Bestätigen Sie die Informationen der Zertifikatvorlage.
Bestätigen Sie die Zertifikatskette für die Zertifizierungsstelle.
Prüfen Sie die aktuellsten Zertifikatsperrlisten.
Veröffentlichen Sie eine neue Zertifikatsperrliste.
Wenn das Problem dadurch nicht behoben wird, prüfen und beheben Sie Probleme in den folgenden Bereichen:
Warteschlange für fehlerhafte Anforderungen für die Zertifizierungsstelle
Konnektivität der Active Directory-Domänendienste
Die zum Abschließen der Zertifikatanforderung erforderlichen Signaturen sind möglicherweise nicht verfügbar. Gehen Sie in diesem Fall wie folgt vor:
Aktivieren Sie zusätzliche Benutzer mit Zertifikaten der Registrierungsstelle für das Signieren von Zertifikatanforderungen.
Ändern Sie die Zertifikatvorlage, damit weniger Signaturen der Registrierungsstelle erforderlich sind.
Übermitteln Sie die Zertifikatanforderung erneut.
Benutzerkontoinformationen in Active Directory-Domänendiensten bestätigen
Zum Ausführen dieses Verfahrens müssen Sie Mitglied der Gruppe "Domänen-Admins" sein, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So bestätigen Sie die Benutzerkontoinformationen
Klicken Sie auf dem Domänencontroller auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Active Directory-Benutzer und -Computer".
Wählen Sie in der Konsolenstruktur die Domäne und die Benutzergruppe aus, in der sich das Konto des Benutzers befinden soll.
Wenn das Benutzerkonto vorhanden ist, klicken Sie mit der rechten Maustaste auf das Konto, klicken Sie dann auf "Eigenschaften" und bestätigen Sie, dass der Benutzer über einen ordnungsgemäß konfigurierten DNS-Namen (Domain Name System) verfügt.
Informationen der Zertifikatvorlage bestätigen
Zum Ausführen dieses Verfahrens müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So bestätigen Sie Informationen der Zertifikatvorlage
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", geben Sie "certtmpl.msc" ein, und drücken Sie die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf die Zertifikatvorlage für die Problembehandlung und bestätigen Sie, dass der Benutzer oder die Gruppe über die Berechtigungen verfügt, um ein Zertifikat auf Basis dieser Vorlage zu registrieren.
Zertifikatkette für Zertifizierungsstelle bestätigen
So überprüfen Sie die Kette für die Zertifizierungsstelle:
Klicken Sie auf "Start", geben Sie "mmc" ein, und drücken Sie dann die EINGABETASTE.
Wenn das Dialogfeld "Benutzerkontensteuerung" angezeigt wird, überprüfen Sie, ob die gewünschte Aktion angezeigt wird, und klicken Sie dann auf "Fortfahren".
Klicken Sie im Menü "Datei" auf "Snap-In hinzufügen/entfernen", und klicken Sie dann auf "Zertifikate" und "Hinzufügen".
Klicken Sie auf "Computerkonto", und klicken Sie dann auf "Weiter".
Wählen Sie den Computer aus, der die Zertifizierungsstelle hostet, klicken Sie auf "Fertig stellen" und dann auf "OK".
Wählen Sie die einzelnen Zertifizierungsstellenzertifikate in der Zertifikatskette aus, und klicken Sie dann auf "Zertifikat anzeigen".
Klicken Sie auf die Registerkarte "Details", und klicken Sie dann auf "In Datei kopieren", um den Zertifikatexport-Assistenten zu starten. Speichern Sie die einzelnen Zertifikate mit der Erweiterung CER.
Öffnen Sie ein Eingabeaufforderungsfenster, und führen Sie den folgenden Befehl zu jedem Zertifizierungsstellenzertifikat aus: certutil -urlfetch -verify <CAcert.cer>. Drücken Sie dann die EINGABETASTE. Ersetzen Sie <CAcert.cer> durch den Namen der Zertifikatdatei einer Zertifizierungsstelle, die Sie in Schritt 7 gespeichert haben.
Verwenden Sie denselben Befehl für eine Zertifikatsdatei für ein Zertifikat einer Endeinheit (Benutzer oder Computer), das von der Zertifizierungsstelle ausgestellt wurde, um Zertifikatsperrlisten für die Zertifizierungsstelle sowie für ihre Kette zu bestätigen.
Beheben Sie alle in der Befehlszeilenausgabe angegebenen Probleme.
Neue Zertifikatsperrlisten generieren und veröffentlichen
Wenn die Befehlszeilenausgabe angibt, dass eine Sperrliste für eine Zertifizierungsstelle abgelaufen ist, generieren Sie für diese Zertifizierungsstelle neue Basis- und Deltasperrlisten und kopieren diese an die erforderlichen Speicherorte. Dazu müssen Sie möglicherweise eine Zertifizierungsstelle neu starten, die offline ist.
Prüfen Sie auf der Zertifizierungsstelle die aktuell veröffentlichte Zertifikatsperrliste. Standardmäßig werden Zertifikatsperrlisten von der Zertifizierungsstelle im Ordner %windir%\System32\CertSrv\CertEnroll erstellt. Wenn die derzeit an diesem Speicherort befindlichen Zertifikatsperrlisten abgelaufen oder ungültig sind, können Sie das folgende Verfahren verwenden, um eine neue Zertifikatsperrliste zu veröffentlichen.
So veröffentlichen Sie eine neue Zertifikatsperrliste mithilfe des Snap-Ins "Zertifizierungsstelle"
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Wählen Sie die Zertifizierungsstelle aus, und erweitern Sie die Ordner unter dem Namen der Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf den Ordner "Gesperrte Zertifikate".
Klicken Sie auf "Alle Aufgaben", und klicken Sie dann auf "Veröffentlichen".
Sie können Zertifikatsperrlisten auch über eine Eingabeaufforderung generieren und veröffentlichen.
So veröffentlichen Sie eine Zertifikatsperrliste mithilfe des Befehlszeilentools "Certutil":
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", geben Sie "cmd" ein, und drücken Sie die EINGABETASTE.
Geben Sie "certutil -CRL" ein, und drücken Sie die EINGABETASTE.
Wenn eine Zertifikatsperrliste als nicht verfügbar erkannt wird, aber eine gültige Sperrliste im lokalen Verzeichnis auf der Zertifizierungsstelle vorhanden ist, bestätigen Sie, dass die Zertifizierungsstelle eine Verbindung zum Verteilungspunkt der Sperrliste herstellen kann. Anschließend verwenden Sie die vorangehenden Schritte, um die Zertifikatsperrlisten erneut zu generieren und zu veröffentlichen.
Zertifikatsperrlisten können mithilfe des folgenden Befehls manuell für die Active Directory-Domänendienste veröffentlicht werden:
certutil -dspublish"<crlname.crl>" ldap:///CN=<CA name>,CN=<CA hostname>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint
Ersetzen Sie "Sperrlistenname.crl" durch den Namen Ihrer Zertifikatsperrlistendatei sowie <CA name> und <CA hostname> durch Ihren Zertifizierungsstellennamen und den Namen des Hosts, auf dem diese Zertifizierungsstelle ausgeführt wird. Ersetzen Sie außerdem <contoso> und <com> durch den Namespace Ihrer Active Directory-Domäne.
Konfigurierte Verteilungspunkte der Zertifikatsperrlisten bestätigen
Prüfen Sie alle konfigurierten Verteilungspunkte der Zertifikatsperrlisten, um zu bestätigen, dass die Veröffentlichung erfolgreich ausgeführt wurde und neue Sperrlisten im Netzwerk verfügbar sind.
Zum Ausführen dieses Verfahrens müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So prüfen Sie die konfigurierten Verteilungspunkte der Zertifikatsperrliste mithilfe des Snap-Ins "Zertifizierungsstelle"
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf die Registerkarte "Erweiterungen".
Überprüfen Sie die konfigurierten Verteilungspunkte der Zertifikatsperrliste, und bestätigen Sie die Gültigkeit der Namen.
So überprüfen Sie die URLs der Verteilungspunkte der Zertifikatsperrliste mithilfe von "Certutil":
Öffnen Sie ein Eingabeaufforderungsfenster auf der Zertifizierungsstelle.
Geben Sie "certutil -getreg ca\crlpublicationurls" ein, und drücken Sie die EINGABETASTE.
Überprüfen Sie die konfigurierten Verteilungspunkte der Zertifikatsperrliste, und bestätigen Sie die Gültigkeit der Namen.
Warteschlange für fehlerhafte Anforderungen auf der Zertifizierungsstelle überprüfen
Zum Ausführen dieses Verfahrens müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So prüfen Sie die Warteschlange für fehlerhafte Anforderungen mithilfe des Snap-Ins "Zertifizierungsstelle"
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Klicken Sie auf "Fehlgeschlagene Anforderungen".
Suchen Sie nach fehlgeschlagenen Anforderungen, die zum oder um den Zeitpunkt des Ereignisses herum übermittelt wurden. Prüfen Sie dann die Spalten wie "Anforderung: Dispositionsmeldung", "Anforderung: Statuscode" und "Antragstellername" auf zusätzliche Diagnoseinformationen.
So überprüfen Sie fehlgeschlagene Anforderungen mithilfe von "Certutil":
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", geben Sie "cmd" ein, und drücken Sie die EINGABETASTE.
Geben Sie "certutil -view LogFail" ein, und drücken Sie die EINGABETASTE.
Geben Sie die folgende Zeichenfolge ein, und drücken Sie die EINGABETASTE: certutil -view -restrict requestID="<nnn>". Ersetzen Sie <nnn> durch die Anforderungs-ID einer der fehlerhaften Anforderungen in der Ausgabe des LogFail-Befehls.
Konnektivität der Active Directory-Domänendienste bestätigen
So bestätigen Sie eine Verbindung der Active Directory-Zertifikatdienste mit den Active Directory-Domänendiensten:
Öffnen Sie auf der Zertifizierungsstelle ein Eingabeaufforderungsfenster.
Geben Sie ping <server_FQDN> ein, wobei "server_FQDN" der vollqualifizierte Domänenname (Fully Qualified Domain Name, FQDN) des Domänencontrollers (z. B. server1.contoso.com) ist, und drücken Sie dann die EINGABETASTE.
Wenn das Senden des Ping erfolgreich war, empfangen Sie eine Antwort, die der folgenden ähnelt:
Antwort von IP-Adresse: Bytes=32 Zeit=3ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=20ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=3ms TTL=59
Antwort von IP-Adresse: Bytes=32 Zeit=6ms TTL=59 3
Geben Sie an der Eingabeaufforderung ping <IP_address> ein, wobei "IP_address" die IP-Adresse des Domänencontrollers ist, und drücken Sie dann die EINGABETASTE.
Wenn Sie über die IP-Adresse, jedoch nicht über den FQDN eine Verbindung mit dem Domänencontroller herstellen können, liegt möglicherweise ein Problem bei der Auflösung des DNS-Hostnamens (Domain Name System) vor. Wenn Sie über die IP-Adresse keine Verbindung zum Domänencontroller herstellen können, liegt möglicherweise ein Problem mit der Netzwerkverbindung, der Firewallkonfiguration oder der IPsec-Konfiguration (Internet Protocol Security) vor.
Zusätzliche Registrierungsstellenzertifikate ausstellen
Zum Ausführen dieses Verfahrens müssen Sie auf dem Computer, der die Zertifizierungsstelle hostet, Mitglied der Gruppe der lokalen Administratoren sein, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So stellen Sie Zertifikate von zusätzlichen Registrierungsstellen aus
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", geben Sie "certtmpl.msc" ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die Zertifikatvorlage der Registrierungsstelle, und klicken Sie dann auf "Eigenschaften".
Fügen Sie auf der Registerkarte "Sicherheit" die Namen der Benutzer oder Gruppen hinzu, für die die Zertifikate der Registrierungsstelle ausgestellt werden sollen.
Klicken Sie in "Gruppen- oder Benutzernamen" auf eines der neuen Objekte, und aktivieren Sie dann für "Berechtigungen für Objektname" unter der Spalte "Zulassen" die Kontrollkästchen "Lesen" und "Registrieren".
Wiederholen Sie den vorherigen Schritt für jedes neue Objekt, und klicken Sie auf "OK".
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Doppelklicken Sie auf den Namen der Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf den Container "Zertifikatvorlagen", klicken Sie dann auf "Neu" und anschließend auf "Auszustellende Zertifikatvorlage".
Wählen Sie die Zertifikatvorlage aus, und klicken Sie auf OK.
Signaturanforderungen für Zertifikatvorlagen ändern
Zum Ausführen dieses Verfahrens müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So ändern Sie Signaturanforderungen für Zertifikatvorlagen
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", geben Sie "certtmpl.msc" ein, und drücken Sie dann die EINGABETASTE.
Klicken Sie im Detailbereich mit der rechten Maustaste auf die zu ändernde Zertifikatvorlage, und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf die Registerkarte Ausstellungsvoraussetzungen.
Geben Sie unter "Diese Anzahl an autorisierten Signaturen" die Anzahl der Signaturen der Registrierungsstelle ein, die Sie verwenden möchten.
Wiederholen Sie den vorherigen Schritt für jedes neue Objekt, und klicken Sie auf "OK".
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Doppelklicken Sie auf den Namen der Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf den Container "Zertifikatvorlagen", klicken Sie dann auf "Neu" und anschließend auf "Auszustellende Zertifikatvorlage".
Wählen Sie die Zertifikatvorlage aus, und klicken Sie auf OK.
So bestätigen Sie, dass die Verarbeitung der Zertifikatanforderung ordnungsgemäß funktioniert
Klicken Sie auf Start, geben Sie certmgr.msc ein, und drücken Sie dann die EINGABETASTE.
Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, überprüfen Sie, ob die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Fortfahren.
Doppelklicken Sie in der Konsolenstruktur auf Eigene Zertifikate, und klicken Sie dann auf Zertifikate.
Zeigen Sie im Menü Aktion auf Alle Aufgaben, und klicken Sie dann auf Neues Zertifikat anfordern, um den Assistenten für die Zertifikatregistrierung zu starten.
Verwenden Sie den Assistenten, um eine Zertifikatanforderung für einen beliebigen verfügbaren Zertifikatstyp zu erstellen und zu übermitteln.
Bestätigen Sie unter Zertifikatinstallationsergebnisse, dass die Registrierung erfolgreich ausgeführt wurde und keine Fehler aufgetreten sind. Sie können auch auf Details klicken, um zusätzliche Informationen zum Zertifikat anzuzeigen.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 53 |
Event Source | Microsoft-Windows-CertificationAuthority |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.53" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">53</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
</WriteActions>
</Rule>