Ein Signierungszertifikat konnte vom Online-Responder nicht erneut werden.
Die Ketten- oder Pfadüberprüfung bezeichnet den Prozess, bei dem die Zertifikate der Endeinheit (Benutzer oder Computer) und alle Zertifikate der Zertifizierungsstelle hierarchisch verarbeitet werden, bis die Zertifikatskette bei einem vertrauenswürdigen, selbstsignierten Zertifikat beendet wird. In der Regel ist dies ein Zertifikat einer Stammzertifizierungsstelle. Beim Start der Active Directory-Zertifikatsdienste (Active Directory Certificate Services, AD CS) kann ein Fehler auftreten, wenn Probleme mit der Verfügbarkeit, der Gültigkeit und der Kettenüberprüfung für das Zertifizierungsstellenzertifikat auftreten.
Installation durch Importieren eines neu ausgestellten Zertifizierungsstellenzertifikats abschließen
Eine Zertifizierungsstelle muss für eine ordnungsgemäße Funktionsweise über ein gültiges Zertifizierungsstellenzertifikat verfügen. Wenn Sie nicht bereits über ein gültiges Zertifizierungsstellenzertifikat verfügen, schließen Sie die Installation durch Importieren eines Zertifikats ab.
Zum Ausführen dieses Verfahrens müssen Sie über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
So importieren Sie ein neu ausgestelltes Zertifizierungsstellenzertifikat und schließen die Installation der Zertifizierungsstelle ab
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Zertifizierungsstelle.
Klicken Sie mit der rechten Maustaste auf den Namen der Zertifizierungsstelle, zeigen Sie auf Alle Aufgaben, und klicken Sie dann auf Dienst starten.
Befolgen Sie die Anleitungen, um die Installation durch Importieren des neu ausgestellten Zertifizierungsstellenzertifikats abzuschließen.
So bestätigen Sie, dass das Zertifizierungsstellenzertifikat und die Kette gültig sind
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf Start, geben Sie mmc ein, und drücken Sie dann die EINGABETASTE.
Wenn das Dialogfeld Benutzerkontensteuerung angezeigt wird, überprüfen Sie, ob die gewünschte Aktion angezeigt wird, und klicken Sie dann auf Fortfahren.
Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen, und klicken Sie dann auf Zertifikate und Hinzufügen.
Klicken Sie auf Computerkonto, und klicken Sie dann auf Weiter.
Klicken Sie auf Fertig stellen und dann auf OK.
Klicken Sie in der Konsolenstruktur auf Zertifikate (Lokaler Computer) und dann auf Eigene Zertifikate.
Bestätigen Sie, dass in diesem Informationsspeicher kein abgelaufenes Zertifizierungsstellenzertifikat vorhanden ist.
Klicken Sie mit der rechten Maustaste auf dieses Zertifikat, und wählen Sie Exportieren aus, um den Zertifikatexport-Assistenten zu starten.
Exportieren Sie das Zertifikat in eine Datei namens "Cert.cer".
Klicken Sie auf Start, geben Sie cmd ein, und drücken Sie die EINGABETASTE.
Geben Sie certutil -urlfetch -verify <cert.cer> ein, und drücken Sie die EINGABETASTE.
Die Kette ist gültig, wenn bei der Überprüfung, Kettenerstellung oder Sperrenprüfung keine Fehler gemeldet werden.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 27 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.27" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">27</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>