Ein Zertifikat in der Kette für das Zertifizierungsstellenzertifikat ist abgelaufen.
Die Ketten- oder Pfadüberprüfung bezeichnet den Prozess, bei dem die Zertifikate der Endeinheit (Benutzer oder Computer) und alle Zertifikate der Zertifizierungsstelle hierarchisch verarbeitet werden, bis die Zertifikatskette bei einem vertrauenswürdigen, selbstsignierten Zertifikat beendet wird. In der Regel ist dies ein Zertifikat einer Stammzertifizierungsstelle. Beim Start der Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) kann ein Fehler auftreten, wenn Probleme mit der Verfügbarkeit, der Gültigkeit und der Kettenüberprüfung für das Zertifizierungsstellenzertifikat auftreten.
Zertifikate in der Kette für ein abgelaufenes Zertifizierungsstellenzertifikat erneut ausstellen
Das abgelaufene Zertifizierungsstellenzertifikat wird im Ereignisprotokoll angegeben. So beheben Sie dieses Problem:
Prüfen Sie, ob das Zertifikat abgelaufen ist.
Bestätigen Sie die Zertifikatskette.
Wenn das Problem weiterhin besteht, aktivieren Sie die CryptoAPI 2.0-Diagnose, beheben Sie alle gefundenen Fehler, und stellen Sie die abgelaufenen Zertifikate dann erneut aus, um sie anschließend erneut zu installieren.
Zum Ausführen dieser Verfahren müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
Ablauf des Zertifizierungsstellenzertifikats prüfen
So prüfen Sie, ob das Zertifizierungsstellenzertifikat abgelaufen ist:
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Klicken Sie mit der rechten Maustaste auf den Zertifizierungsstellenknoten, und klicken Sie dann auf "Eigenschaften".
Abgelaufene Zertifikate werden in der Liste der Zertifizierungsstellenzertifikate mit dem Wort "(abgelaufen)" aufgeführt. Wenn alle Zertifizierungsstellenzertifikate abgelaufen sind, müssen Sie das Zertifizierungsstellenzertifikat erneuern und alle Zertifikate erneut ausstellen, die dem abgelaufenen Zertifizierungsstellenzertifikat untergeordnet sind.
Klicken Sie zum Erneuern des Zertifizierungsstellenzertifikats mit der rechten Maustaste auf den Zertifizierungsstellenknoten, zeigen Sie auf "Alle Aufgaben", und klicken Sie dann auf "Zertifizierungsstellenzertifikat erneuern".
Nachdem das Zertifizierungsstellenzertifikat erneuert wurde, starten Sie die Zertifizierungsstelle neu.
Wenn sich nicht abgelaufene Zertifikate in der Liste befinden, suchen Sie nach dem Zertifikat, dessen Zertifizierungsstellenversion mit der Schlüssel-ID in der Fehlermeldung übereinstimmt. Wenn z. B. die Schlüssel-ID 2 ist, entspricht das Zertifikat mit der Zertifizierungsstellenversion 2.1 oder 2.2 dem richtigen Zertifikat.
Wenn dieses Zertifikat nicht abgelaufen ist, prüfen Sie auf Probleme mit der Zertifikatskette. Exportieren Sie das Zertifikat in eine Datei, und öffnen Sie dann ein Eingabeaufforderungsfenster. Geben Sie certutil -urlfetch -verify<CAcert.cer> ein, und drücken Sie die EINGABETASTE. (Ersetzen Sie "CAcert.cer" durch den Namen der Zertifikatsdatei.)
CryptoAPI 2.0-Diagnose aktivieren
So aktivieren Sie die CryptoAPI 2.0-Diagnose:
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Ereignisanzeige".
In der Konsolenstruktur erweitern Sie "Ereignisanzeige", "Anwendungs- und Dienstprotokolle", "Microsoft", "Windows" und "CAPI2".
Klicken Sie mit der rechten Maustaste auf "Betriebsbereit", und klicken Sie dann auf "Protokoll aktivieren".
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Dienste".
Klicken Sie mit der rechten Maustaste auf "Active Directory-Zertifikatsdienste", und klicken Sie dann auf "Neu starten".
So bestätigen Sie, dass das Zertifizierungsstellenzertifikat und die Kette gültig sind
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, geben Sie mmc ein, und drücken Sie dann die EINGABETASTE.
Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, überprüfen Sie, ob die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Fortfahren.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Zertifikate und Hinzufügen.
Klicken Sie auf Computerkonto, und klicken Sie dann auf Weiter.
Klicken Sie auf Fertig stellen und dann auf OK.
Klicken Sie in der Konsolenstruktur auf Zertifikate (Lokaler Computer) und dann auf Eigene Zertifikate.
Bestätigen Sie, dass in diesem Informationsspeicher kein abgelaufenes Zertifizierungsstellenzertifikat vorhanden ist.
Klicken Sie mit der rechten Maustaste auf dieses Zertifikat, und wählen Sie Exportieren aus, um den Zertifikatexport-Assistenten zu starten.
Exportieren Sie das Zertifikat in eine Datei namens "Cert.cer".
Klicken Sie auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE.
Geben Sie certutil -urlfetch -verify <cert.cer> ein, und drücken Sie die EINGABETASTE.
Die Kette ist gültig, wenn bei der Überprüfung, Kettenerstellung oder Sperrenprüfung keine Fehler gemeldet werden.
Target | Microsoft.Windows.CertificateServices.CARole.2016 | ||
Category | EventCollection | ||
Enabled | True | ||
Alert Generate | True | ||
Alert Severity | Error | ||
Alert Priority | High | ||
Remotable | True | ||
Alert Message |
| ||
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
Alert | WriteAction | System.Health.GenerateAlert | Default |
WriteToCertSvcEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.CertSvcEvents.58_Error" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-CertificationAuthority</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">58</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="Integer">EventLevel</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="Integer">1</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToCertSvcEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.CertSvcEvents.Publisher"/>
<WriteAction ID="Alert" TypeID="Health!System.Health.GenerateAlert">
<Priority>2</Priority>
<Severity>2</Severity>
<AlertMessageId>$MPElement[Name="AlertMessageIDa56c8730d300410882edc1f355f85f5d"]$</AlertMessageId>
<AlertParameters>
<AlertParameter1>$Data/EventDescription$</AlertParameter1>
</AlertParameters>
<Suppression>
<SuppressionValue>$Data/EventDisplayNumber$</SuppressionValue>
<SuppressionValue>$Data/PublisherName$</SuppressionValue>
<SuppressionValue>$Data/LoggingComputer$</SuppressionValue>
</Suppression>
</WriteAction>
</WriteActions>
</Rule>