10
Zertifizierungstelle kann nicht gestartet werden
Hallo,
habe bei einem Kunden Zertifikate ausgestellt und installiert. Alles Prima. Clientzertifikate von verschiedenen Stellen getestet. Lief einwandfrei. Jetzt wollte ich dem Kunden sein Zertifikat installieren aber es funtionierte nicht. Nach langem suchen kam ich dahinter das die CA nicht gestartet war. Nachdem ich diese starten wollte kommt folgende Meldung.
Das Objekt oder die Eigenschaft wurde nicht gefunden. 0x80092004(-2146885628).
Das Ereignisprotokoll sagt: EvenID: 42 Quelle: Certsrv
Die Zertifikatsdienste wurden nicht gestartet: Kette des Zertifizierungsstellen-Zertifikats für CA XXX konnte nicht erstellt werden. Das Objekt oder die Eigenschaft wurde nicht gefunden. 0x80092004 (-2146885628).
System:
Windows 2000 Server, ADS, Exchange, DNS, DHCP
Leider habe ich im Netz vergeblich gesucht. Kann mir jemand weiterhelfen?
Gruss
Christian
habe bei einem Kunden Zertifikate ausgestellt und installiert. Alles Prima. Clientzertifikate von verschiedenen Stellen getestet. Lief einwandfrei. Jetzt wollte ich dem Kunden sein Zertifikat installieren aber es funtionierte nicht. Nach langem suchen kam ich dahinter das die CA nicht gestartet war. Nachdem ich diese starten wollte kommt folgende Meldung.
Das Objekt oder die Eigenschaft wurde nicht gefunden. 0x80092004(-2146885628).
Das Ereignisprotokoll sagt: EvenID: 42 Quelle: Certsrv
Die Zertifikatsdienste wurden nicht gestartet: Kette des Zertifizierungsstellen-Zertifikats für CA XXX konnte nicht erstellt werden. Das Objekt oder die Eigenschaft wurde nicht gefunden. 0x80092004 (-2146885628).
System:
Windows 2000 Server, ADS, Exchange, DNS, DHCP
Leider habe ich im Netz vergeblich gesucht. Kann mir jemand weiterhelfen?
Gruss
Christian
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 56674
Url: https://administrator.de/contentid/56674
Printed on: April 18, 2024 at 09:04 o'clock
10 Comments
Latest comment
Lies mal bei www.EventID.net wie andere dieses Problem gelöst haben.
http://www.eventid.net/display.asp?eventid=42&eventno=1858&sour ...
http://www.eventid.net/display.asp?eventid=42&eventno=1858&sour ...
Hm, erlich gesagt hilft mir das nicht viel weiter. Ich habe weder was gelöscht, noch unbedingt Lust darauf, die Zertifizierungsstelle neu zu installieren.
Mir würde es ja schon helfen, wennn ich wüsste wie der Fehler zustande kommt.
Gruss
Christian
Mir würde es ja schon helfen, wennn ich wüsste wie der Fehler zustande kommt.
Gruss
Christian
Hallo c.t. !
Vllt moechtest Du dich einmal mit folgendem Dokument auseinandersetzen "Configuring and Troubleshooting Windows 2000 and Windows Server 2003 Certificate Services Web Enrollment"
unter:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technolo ...
Da findest Du zum Beispiel in dem Abschnitt "Troubleshooting":
Cannot find object or property. 0x80092004 (-2146885628)
The error message in the Windows 2000 CA application log may contain an entry similar to the following:
Event Type: Error
Event Source: CertSvc
Event Category: None
Event ID: 21
Date: 3/18/2004
Time: 12:33:52 PM
User: N/A
Computer: W2K-E-CA
Description:
Certificate Services could not process request 4 due to an error: Cannot find object or property. 0x80092004 (-2146885628).
The request was for (Unknown Subject).
This error message is displayed if you attempt to access a Windows 2000 CA from a Windows Server 2003 Web enrollment proxy. This configuration is not supported. To resolve the problem, upgrade the operating system of the CA to Windows Server 2003 or use a Windows 2000 Web enrollment proxy with a Windows 2000 CA.
Du solltest mal alles Schritt fuer Schritt noch einmal durchgehen...
saludos
gnarff
Vllt moechtest Du dich einmal mit folgendem Dokument auseinandersetzen "Configuring and Troubleshooting Windows 2000 and Windows Server 2003 Certificate Services Web Enrollment"
unter:
http://www.microsoft.com/technet/prodtechnol/windowsserver2003/technolo ...
Da findest Du zum Beispiel in dem Abschnitt "Troubleshooting":
Cannot find object or property. 0x80092004 (-2146885628)
The error message in the Windows 2000 CA application log may contain an entry similar to the following:
Event Type: Error
Event Source: CertSvc
Event Category: None
Event ID: 21
Date: 3/18/2004
Time: 12:33:52 PM
User: N/A
Computer: W2K-E-CA
Description:
Certificate Services could not process request 4 due to an error: Cannot find object or property. 0x80092004 (-2146885628).
The request was for (Unknown Subject).
This error message is displayed if you attempt to access a Windows 2000 CA from a Windows Server 2003 Web enrollment proxy. This configuration is not supported. To resolve the problem, upgrade the operating system of the CA to Windows Server 2003 or use a Windows 2000 Web enrollment proxy with a Windows 2000 CA.
Du solltest mal alles Schritt fuer Schritt noch einmal durchgehen...
saludos
gnarff
Hi,
den Text habe ich auch schon vor mir. Haut aber irgendwie nicht hin. Das ist mir erlich gesagt ein wenig zu hoch bzw. unverständlich. Überprüfen sie die Anzahl der Fingerprints danach in die Registry..... Da lass ich mal wacker die Finger von
Unter mmc > Zertifikate ist mir aufgefallen, dass das Zertifizierungsstellenzertifikat abgelaufen ist. Leider kann ich dieses nicht mehr erneuern. Hoffe nicht, das ich die ganze CA deinstallieren und wieder installieren muss.
Es lief doch alles so gut
Bis später.
Christian
den Text habe ich auch schon vor mir. Haut aber irgendwie nicht hin. Das ist mir erlich gesagt ein wenig zu hoch bzw. unverständlich. Überprüfen sie die Anzahl der Fingerprints danach in die Registry..... Da lass ich mal wacker die Finger von
Unter mmc > Zertifikate ist mir aufgefallen, dass das Zertifizierungsstellenzertifikat abgelaufen ist. Leider kann ich dieses nicht mehr erneuern. Hoffe nicht, das ich die ganze CA deinstallieren und wieder installieren muss.
Es lief doch alles so gut
Bis später.
Christian
Zertifikate erneuern (Auszug aus dem Dokument
"Betriebshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten
Kapitel 11: Verwalten der Infrastruktur öffentlicher Schlüssel" unter:
http://www.microsoft.com/germany/technet/datenbank/articles/900166.mspx
So erneuern Sie das Zertifikat der Stamm-CA
1.
Melden Sie sich als lokaler Administrator bei der Stamm-CA an.
2.
Wenn Sie die Schlüssellänge ändern möchten, müssen Sie die Datei CAPolicy.inf im Verzeichnis %SystemRoot% bearbeiten. Ändern Sie den Wert RenewalKeyLength in die gewünschte Bitlänge. Die Schlüssellänge muss von dem von der CA verwendeten Kryptografieanbieter (Crypto Service Provider, CSP) unterstützt werden. Im folgenden Beispiel beträgt dieser Wert 2048.
[Certsrv_Server]
RenewalKeyLength=2048
Hinweis: Wenn eine Änderung der Gültigkeitsperiode oder der Zertifikatsrichtlinien des CA-Zertifikats notwendig wird, müssen Sie dies auch in der Datei CAPolicy.inf (in %SystemRoot%) angeben, bevor Sie mit diesem Verfahren beginnen.
3.
Öffnen Sie das MMC-Snap-In für Zertifizierungsstellen. Klicken Sie im Menü Tasks des CA-Objekts auf Zertifizierungsstellenzertifikat erneuern. In einer Warnung der Zertifikatsdienste werden Sie darauf hingewiesen, das die CA beendet werden muss, um das Zertifikat zu erneuern.
4.
Wählen Sie die Option Neuer Schlüssel aus. Die Zertifikatsdienste werden daraufhin neu gestartet.
5.
Zeigen Sie das Zertifikat in den Eigenschaften der CA an, und stellen Sie sicher, dass im Feld Gültig ab des CA-Zertifikats das aktuelle Datum steht.
6.
Erstellen Sie eine CRL, und kopieren Sie das neue Zertifikat mitsamt der CRL auf einen Datenträger, indem Sie die folgenden Skriptbefehle ausführen:
Cscript job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscriptjob:getcrls c:\MSSScripts\ca_operations.wsf
7.
Bringen Sie den Datenträger zur ausstellenden CA. (Sie können dazu einen beliebigen Computer verwenden, der Mitglied der Domäne ist und auf dem certutil.exe und die mit dieser Lösung bereitgestellten Skripts installiert sind; es muss sich nicht unbedingt um die ausstellende CA handeln.)
8.
Melden Sie sich als Organisations-PKI-Administrator an, und führen Sie die folgenden Skripts aus:
Cscript job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscriptjob: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscriptjob: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf
Hinweis: Es sollten möglichst alle untergeordneten CAs zum gleichen Zeitpunkt erneuert werden. Dies ist jedoch nicht zwingend erforderlich. (Siehe "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle".)
9.
Sichern Sie das Zertifikat und den Schlüssel der Stamm-CA. (Siehe "Sichern der CA-Schlüssel und Zertifikate".)
10.
Sichern Sie die Zertifikatsdatenbank und den Systemstatus der Stamm-CA. (Siehe "Sichern der Datenbank der Stammzertifizierungsstelle".)
Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle
Sie müssen das Zertifikat der CA regelmäßig erneuern, damit Endeinheiten (und ggf. vorhandene untergeordnete CAs) weiterhin Zertifikate bei dieser CA registrieren können. Kein ausgestelltes Zertifikat kann ein späteres Ablaufdatum als dieses Zertifikat haben. Andere Ursachen für die Erneuerung dieses Zertifikats sind:
•
Ändern des Schlüssels der CA (bei einer tatsächlichen oder vermuteten Sicherheitsverletzung)
•
Hinzufügen von Zertifikatsrichtlinien zur CA (qualifizierte Unterordnung)
•
Ändern der CDP- oder AIA-Pfade
•
Partitionieren der CRL
In der Regel sollten Sie den Zertifikatsschlüssel bei jeder Erneuerung ändern. Falls Sie eine Erneuerung unter Beibehaltung desselben Schlüssels durchführen möchten, lesen Sie den Abschnitt "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels".
Zusammenfassung
•
Sicherheitsanforderungen:
•
Local Administrators der ausstellenden CA
•
Certificate Managers der Stamm-CA
•
Enterprise PKI Admins
•
Häufigkeit Alle 4 Jahre
•
Erforderliche Technologien:
•
Certutil.exe
•
MSS-Skripts
•
MMC-Snap-In für Zertifizierungsstellen
•
Texteditor
Wichtig: Um die CA-Zertifikate erfolgreich zu erneuern und sie im NTAuth-Speicher von Active Directory zu veröffentlichen (wodurch die CA als Unternehmens-CA identifiziert wird), müssen Sie das CA-Zertifikat mithilfe eines Kontos installieren, das sowohl zu den Enterprise PKI Admins als auch zu den lokalen Administratoren gehört. Die erste Gruppe verfügt über die Berechtigungen zum Veröffentlichen des Zertifikats im Verzeichnis, die zweite über die Berechtigungen zum Installieren des Zertifikats auf der CA.
Aufgabendetails
So erneuern Sie das Zertifikat der ausstellenden CA
1.
Melden Sie sich bei der ausstellenden CA als lokaler Administrator an.
2.
Wenn Sie die Schlüssellänge ändern möchten, müssen Sie die Datei CAPolicy.inf im Verzeichnis %SystemRoot% bearbeiten. Ändern Sie den Wert für "RenewalKeyLength" in die gewünschte Bitlänge (die Schlüssellänge muss von dem von der CA verwendeten CSP unterstützt werden).
[Certsrv_Server]
RenewalKeyLength=2048
Wichtig: Wenn eine Änderung der Gültigkeitsperiode oder der Zertifikatsrichtlinien des CA-Zertifikats notwendig wird, müssen Sie dies auch in der Datei CAPolicy.inf (in %SystemRoot%) angeben, bevor Sie mit diesem Verfahren beginnen.
3.
Öffnen Sie das MMC-Snap-In für Zertifizierungsstellen, und klicken Sie im Menü Tasks des CA-Objekts auf Zertifizierungsstellenzertifikat erneuern.
4.
Wählen Sie die Option Neuer Schlüssel aus.
5.
Sie werden nach der CA gefragt, der Sie die Erneuerung übermitteln möchten. Klicken Sie auf Abbrechen, um die Anforderungsdatei auf einem Datenträger zu speichern. Die Zertifikatsdienste werden daraufhin neu gestartet.
6.
Kopieren Sie diese Datei auf einen Datenträger. Die Zertifikatsanforderung wird im Pfad des freigegebenen Ordners (C:\CAConfig) generiert und gespeichert. Kopieren Sie diese Datei HQ-CA-02.woodgrovebank.com_Woodgrove Bank Issuing CA 1.req auf Diskette. (Ersetzen Sie den kursiven Text durch Ihre CA-Details.)
7.
Nehmen Sie den Datenträger mit zur Stamm-CA, und melden Sie sich als Mitglied der lokalen Gruppe Certificate Managers an.
8.
Klicken Sie im MMC-Snap-In für Zertifizierungsstellen im Menü Tasks der CA auf Neue Anforderung einreichen, und reichen Sie anschließend die Anfrage ein, die aus der ausstellenden CA (auf dem Datenträger mit der Anfrage der untergeordneten CA) übertragen wurde.
9.
Auf der Stamm-CA müssen Sie alle Anforderungen manuell genehmigen. Suchen Sie im Ordner Ausstehende Anforderungen nach der Anforderung. Überprüfen Sie, ob das Feld Gemeinsamer Name den Namen der ausstellenden CA enthält, und genehmigen Sie dann die Anforderung.
10.
Das neu ausgestellte Zertifikat befindet sich nun im Ordner Ausgestellte Zertifikate. Öffnen Sie das Zertifikat.
11.
Überprüfen Sie die Richtigkeit aller Zertifikatdetails, und klicken Sie anschließend auf In Datei kopieren, um das Zertifikat in eine Datei zu exportieren. Speichern Sie es als PKCS#7-Datei auf dem Datenträger (für die Übertragung zurück an die ausstellende CA).
12.
Melden Sie sich wieder an der ausstellenden CA mit einem Konto an, das sowohl Mitglied der Enterprise PKI Admins als auch der lokalen Administratorengruppe ist. Legen Sie anschließend den Datenträger ein.
13.
Klicken Sie im MMC-Snap-In für Zertifizierungsstellen im Menü Tasks der CA auf Zertifikat installieren. Installieren Sie das Zertifikat der ausstellenden CA vom Datenträger aus. Die CA wird neu gestartet.
14.
Zeigen Sie das Zertifikat in den Eigenschaften der CA an, und stellen Sie sicher, dass im Feld Gültig ab des CA-Zertifikats das aktuelle Datum steht.
15.
Veröffentlichen Sie das Zertifikat im CDP des Webservers. (Weitere Informationen finden Sie unter "Veröffentlichen des Zertifikats der ausstellenden Zertifizierungsstelle auf dem Webserver".)
16.
Sichern Sie das Zertifikat und den Schlüssel der ausstellenden CA. (Weitere Informationen finden Sie unter "Sichern der CA-Schlüssel und -Zertifikate".)
17.
Sichern Sie die Zertifikatsdatenbank und den Systemstatus der Stamm-CA. (Weitere Informationen finden Sie unter "Sichern der Datenbank der Stammzertifizierungsstelle".)
18.
Sichern Sie die Zertifikatsdatenbank und den Systemstatus der ausstellenden CA. (Weitere Informationen finden Sie unter "Konfigurieren der Datenbanksicherung einer ausstellenden Zertifizierungsstelle".) Diese Sicherung sollte ohnehin täglich erfolgen.
Erneuern des Zertifikats der Stammzertifizierungsstelle ohne Änderung des Schlüssels
Normalerweise sollten Sie den Schlüssel der Stamm-CA bei jeder planmäßigen Erneuerung des CA-Zertifikats ändern (siehe Verfahren "Erneuern des Zertifikats der Stammzertifizierungsstelle"). Es kann jedoch vorkommen, das Sie das CA-Zertifikat ohne Änderung des CA-Schlüssels erneuern müssen, zum Beispiel wenn Sie beim Ändern der CA-Richtlinien oder beim Erweitern der Gültigkeitsdauer des Zertifikats dasselbe Schlüsselpaar beibehalten.
Zusammenfassung
•
Sicherheitsanforderungen: Local Administrators der CA
•
Häufigkeit: Bei Bedarf
•
Erforderliche Technologien:
•
Certutil.exe
•
MSS-Skripts
•
Texteditor
Aufgabendetails
So erneuern Sie das Zertifikat der Stamm-CA ohne Änderung des Schlüssels
•
Folgen Sie dem Verfahren "Erneuern des Zertifikats der Stammzertifizierungsstelle", mit dem Unterschied, dass Sie auf Nein klicken, wenn Sie zum Erneuern mit einem neuen Schlüssel aufgefordert werden. Änderungen des Wertes RenewalKeyLength in der Datei CAPolicy.inf haben keine Auswirkungen.
Abgesehen davon, dass Sie bei der Aufforderung zur Erstellung eines neuen Schlüssels auf Nein klicken, unterscheidet sich dieses Verfahren nicht von den Schritten unter "Erneuern des Zertifikats der Stammzertifizierungsstelle".
Vorsicht: Das Erneuern des Zertifikats der Stamm-CA ist ein sehr bedeutsames Ereignis. Sie müssen alle betroffenen Besitzer von Anwendungen hiervon in Kenntnis setzen, für den Fall, dass diese das neue Zertifikat zu ihren Anwendungen hinzufügen müssen.
Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels
Sie sollten den Schlüssel einer ausstellenden CA normalerweise bei jeder geplanten CA-Zertifikatserneuerung ändern. (Siehe "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle".) Es kann jedoch vorkommen, das Sie das CA-Zertifikat ohne Änderung des CA-Schlüssels erneuern müssen, etwa wenn Sie beim Ändern der CA-Richtlinien oder beim Erweitern der Gültigkeitsdauer des Zertifikats das Schlüsselpaar beibehalten.
Zusammenfassung
•
Sicherheitsanforderungen: Local Administrators der CA
•
Häufigkeit: Bei Bedarf
•
Erforderliche Technologien:
•
Certutil.exe
•
MSS-Skripts
•
MMC-Snap-In für Zertifizierungsstellen
•
Texteditor
Aufgabendetails
So erneuern Sie das Zertifikat der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels
•
Folgen Sie dem Verfahren zum Erneuern des Zertifikats der Stammzertifizierungsstelle, mit dem Unterschied, dass Sie auf Nein klicken, wenn Sie zum Erneuern mit einem neuen Schlüssel aufgefordert werden. Änderungen des Wertes RenewalKeyLength in der Datei CAPolicy.inf haben keine Auswirkungen.
Abgesehen davon, dass Sie bei der Aufforderung zur Erstellung eines neuen Schlüssels auf Nein klicken, unterscheidet sich dieses Verfahren nicht von den Schritten unter "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle".
Veröffentlichen einer Offlinezertifikatssperrliste und eines Offlinezertifizierungsstellen-Zertifikats
Die Zertifikatssperrliste (Certificate Revocation List, CRL) einer Offline-CA muss online veröffentlicht werden, damit Zertifikatbenutzer den Sperrstatus der gesamten CA-Kette überprüfen können.
Zusammenfassung
•
Sicherheitsanforderungen:
•
Local Administrators der CA
•
Enterprise PKI Publishers
•
Häufigkeit: Alle 6 Monate oder bei Bedarf
•
Erforderliche Technologien:
•
Certutil.exe
•
saludos
gnarff
"Betriebshandbuch - Sichern von Wireless LANs mit Zertifikatsdiensten
Kapitel 11: Verwalten der Infrastruktur öffentlicher Schlüssel" unter:
http://www.microsoft.com/germany/technet/datenbank/articles/900166.mspx
So erneuern Sie das Zertifikat der Stamm-CA
1.
Melden Sie sich als lokaler Administrator bei der Stamm-CA an.
2.
Wenn Sie die Schlüssellänge ändern möchten, müssen Sie die Datei CAPolicy.inf im Verzeichnis %SystemRoot% bearbeiten. Ändern Sie den Wert RenewalKeyLength in die gewünschte Bitlänge. Die Schlüssellänge muss von dem von der CA verwendeten Kryptografieanbieter (Crypto Service Provider, CSP) unterstützt werden. Im folgenden Beispiel beträgt dieser Wert 2048.
[Certsrv_Server]
RenewalKeyLength=2048
Hinweis: Wenn eine Änderung der Gültigkeitsperiode oder der Zertifikatsrichtlinien des CA-Zertifikats notwendig wird, müssen Sie dies auch in der Datei CAPolicy.inf (in %SystemRoot%) angeben, bevor Sie mit diesem Verfahren beginnen.
3.
Öffnen Sie das MMC-Snap-In für Zertifizierungsstellen. Klicken Sie im Menü Tasks des CA-Objekts auf Zertifizierungsstellenzertifikat erneuern. In einer Warnung der Zertifikatsdienste werden Sie darauf hingewiesen, das die CA beendet werden muss, um das Zertifikat zu erneuern.
4.
Wählen Sie die Option Neuer Schlüssel aus. Die Zertifikatsdienste werden daraufhin neu gestartet.
5.
Zeigen Sie das Zertifikat in den Eigenschaften der CA an, und stellen Sie sicher, dass im Feld Gültig ab des CA-Zertifikats das aktuelle Datum steht.
6.
Erstellen Sie eine CRL, und kopieren Sie das neue Zertifikat mitsamt der CRL auf einen Datenträger, indem Sie die folgenden Skriptbefehle ausführen:
Cscript job:getcacerts c:\MSSScripts\ca_operations.wsf
Cscriptjob:getcrls c:\MSSScripts\ca_operations.wsf
7.
Bringen Sie den Datenträger zur ausstellenden CA. (Sie können dazu einen beliebigen Computer verwenden, der Mitglied der Domäne ist und auf dem certutil.exe und die mit dieser Lösung bereitgestellten Skripts installiert sind; es muss sich nicht unbedingt um die ausstellende CA handeln.)
8.
Melden Sie sich als Organisations-PKI-Administrator an, und führen Sie die folgenden Skripts aus:
Cscript job: PublishCertstoAD c:\MSSScripts\ca_operations.wsf
Cscriptjob: PublishCRLstoAD c:\MSSScripts\ca_operations.wsf
Cscript job: PublishRootCertstoIIS c:\MSSScripts\ca_operations.wsf
Cscriptjob: PublishRootCRLstoIIS c:\MSSScripts\ca_operations.wsf
Hinweis: Es sollten möglichst alle untergeordneten CAs zum gleichen Zeitpunkt erneuert werden. Dies ist jedoch nicht zwingend erforderlich. (Siehe "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle".)
9.
Sichern Sie das Zertifikat und den Schlüssel der Stamm-CA. (Siehe "Sichern der CA-Schlüssel und Zertifikate".)
10.
Sichern Sie die Zertifikatsdatenbank und den Systemstatus der Stamm-CA. (Siehe "Sichern der Datenbank der Stammzertifizierungsstelle".)
Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle
Sie müssen das Zertifikat der CA regelmäßig erneuern, damit Endeinheiten (und ggf. vorhandene untergeordnete CAs) weiterhin Zertifikate bei dieser CA registrieren können. Kein ausgestelltes Zertifikat kann ein späteres Ablaufdatum als dieses Zertifikat haben. Andere Ursachen für die Erneuerung dieses Zertifikats sind:
•
Ändern des Schlüssels der CA (bei einer tatsächlichen oder vermuteten Sicherheitsverletzung)
•
Hinzufügen von Zertifikatsrichtlinien zur CA (qualifizierte Unterordnung)
•
Ändern der CDP- oder AIA-Pfade
•
Partitionieren der CRL
In der Regel sollten Sie den Zertifikatsschlüssel bei jeder Erneuerung ändern. Falls Sie eine Erneuerung unter Beibehaltung desselben Schlüssels durchführen möchten, lesen Sie den Abschnitt "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels".
Zusammenfassung
•
Sicherheitsanforderungen:
•
Local Administrators der ausstellenden CA
•
Certificate Managers der Stamm-CA
•
Enterprise PKI Admins
•
Häufigkeit Alle 4 Jahre
•
Erforderliche Technologien:
•
Certutil.exe
•
MSS-Skripts
•
MMC-Snap-In für Zertifizierungsstellen
•
Texteditor
Wichtig: Um die CA-Zertifikate erfolgreich zu erneuern und sie im NTAuth-Speicher von Active Directory zu veröffentlichen (wodurch die CA als Unternehmens-CA identifiziert wird), müssen Sie das CA-Zertifikat mithilfe eines Kontos installieren, das sowohl zu den Enterprise PKI Admins als auch zu den lokalen Administratoren gehört. Die erste Gruppe verfügt über die Berechtigungen zum Veröffentlichen des Zertifikats im Verzeichnis, die zweite über die Berechtigungen zum Installieren des Zertifikats auf der CA.
Aufgabendetails
So erneuern Sie das Zertifikat der ausstellenden CA
1.
Melden Sie sich bei der ausstellenden CA als lokaler Administrator an.
2.
Wenn Sie die Schlüssellänge ändern möchten, müssen Sie die Datei CAPolicy.inf im Verzeichnis %SystemRoot% bearbeiten. Ändern Sie den Wert für "RenewalKeyLength" in die gewünschte Bitlänge (die Schlüssellänge muss von dem von der CA verwendeten CSP unterstützt werden).
[Certsrv_Server]
RenewalKeyLength=2048
Wichtig: Wenn eine Änderung der Gültigkeitsperiode oder der Zertifikatsrichtlinien des CA-Zertifikats notwendig wird, müssen Sie dies auch in der Datei CAPolicy.inf (in %SystemRoot%) angeben, bevor Sie mit diesem Verfahren beginnen.
3.
Öffnen Sie das MMC-Snap-In für Zertifizierungsstellen, und klicken Sie im Menü Tasks des CA-Objekts auf Zertifizierungsstellenzertifikat erneuern.
4.
Wählen Sie die Option Neuer Schlüssel aus.
5.
Sie werden nach der CA gefragt, der Sie die Erneuerung übermitteln möchten. Klicken Sie auf Abbrechen, um die Anforderungsdatei auf einem Datenträger zu speichern. Die Zertifikatsdienste werden daraufhin neu gestartet.
6.
Kopieren Sie diese Datei auf einen Datenträger. Die Zertifikatsanforderung wird im Pfad des freigegebenen Ordners (C:\CAConfig) generiert und gespeichert. Kopieren Sie diese Datei HQ-CA-02.woodgrovebank.com_Woodgrove Bank Issuing CA 1.req auf Diskette. (Ersetzen Sie den kursiven Text durch Ihre CA-Details.)
7.
Nehmen Sie den Datenträger mit zur Stamm-CA, und melden Sie sich als Mitglied der lokalen Gruppe Certificate Managers an.
8.
Klicken Sie im MMC-Snap-In für Zertifizierungsstellen im Menü Tasks der CA auf Neue Anforderung einreichen, und reichen Sie anschließend die Anfrage ein, die aus der ausstellenden CA (auf dem Datenträger mit der Anfrage der untergeordneten CA) übertragen wurde.
9.
Auf der Stamm-CA müssen Sie alle Anforderungen manuell genehmigen. Suchen Sie im Ordner Ausstehende Anforderungen nach der Anforderung. Überprüfen Sie, ob das Feld Gemeinsamer Name den Namen der ausstellenden CA enthält, und genehmigen Sie dann die Anforderung.
10.
Das neu ausgestellte Zertifikat befindet sich nun im Ordner Ausgestellte Zertifikate. Öffnen Sie das Zertifikat.
11.
Überprüfen Sie die Richtigkeit aller Zertifikatdetails, und klicken Sie anschließend auf In Datei kopieren, um das Zertifikat in eine Datei zu exportieren. Speichern Sie es als PKCS#7-Datei auf dem Datenträger (für die Übertragung zurück an die ausstellende CA).
12.
Melden Sie sich wieder an der ausstellenden CA mit einem Konto an, das sowohl Mitglied der Enterprise PKI Admins als auch der lokalen Administratorengruppe ist. Legen Sie anschließend den Datenträger ein.
13.
Klicken Sie im MMC-Snap-In für Zertifizierungsstellen im Menü Tasks der CA auf Zertifikat installieren. Installieren Sie das Zertifikat der ausstellenden CA vom Datenträger aus. Die CA wird neu gestartet.
14.
Zeigen Sie das Zertifikat in den Eigenschaften der CA an, und stellen Sie sicher, dass im Feld Gültig ab des CA-Zertifikats das aktuelle Datum steht.
15.
Veröffentlichen Sie das Zertifikat im CDP des Webservers. (Weitere Informationen finden Sie unter "Veröffentlichen des Zertifikats der ausstellenden Zertifizierungsstelle auf dem Webserver".)
16.
Sichern Sie das Zertifikat und den Schlüssel der ausstellenden CA. (Weitere Informationen finden Sie unter "Sichern der CA-Schlüssel und -Zertifikate".)
17.
Sichern Sie die Zertifikatsdatenbank und den Systemstatus der Stamm-CA. (Weitere Informationen finden Sie unter "Sichern der Datenbank der Stammzertifizierungsstelle".)
18.
Sichern Sie die Zertifikatsdatenbank und den Systemstatus der ausstellenden CA. (Weitere Informationen finden Sie unter "Konfigurieren der Datenbanksicherung einer ausstellenden Zertifizierungsstelle".) Diese Sicherung sollte ohnehin täglich erfolgen.
Erneuern des Zertifikats der Stammzertifizierungsstelle ohne Änderung des Schlüssels
Normalerweise sollten Sie den Schlüssel der Stamm-CA bei jeder planmäßigen Erneuerung des CA-Zertifikats ändern (siehe Verfahren "Erneuern des Zertifikats der Stammzertifizierungsstelle"). Es kann jedoch vorkommen, das Sie das CA-Zertifikat ohne Änderung des CA-Schlüssels erneuern müssen, zum Beispiel wenn Sie beim Ändern der CA-Richtlinien oder beim Erweitern der Gültigkeitsdauer des Zertifikats dasselbe Schlüsselpaar beibehalten.
Zusammenfassung
•
Sicherheitsanforderungen: Local Administrators der CA
•
Häufigkeit: Bei Bedarf
•
Erforderliche Technologien:
•
Certutil.exe
•
MSS-Skripts
•
Texteditor
Aufgabendetails
So erneuern Sie das Zertifikat der Stamm-CA ohne Änderung des Schlüssels
•
Folgen Sie dem Verfahren "Erneuern des Zertifikats der Stammzertifizierungsstelle", mit dem Unterschied, dass Sie auf Nein klicken, wenn Sie zum Erneuern mit einem neuen Schlüssel aufgefordert werden. Änderungen des Wertes RenewalKeyLength in der Datei CAPolicy.inf haben keine Auswirkungen.
Abgesehen davon, dass Sie bei der Aufforderung zur Erstellung eines neuen Schlüssels auf Nein klicken, unterscheidet sich dieses Verfahren nicht von den Schritten unter "Erneuern des Zertifikats der Stammzertifizierungsstelle".
Vorsicht: Das Erneuern des Zertifikats der Stamm-CA ist ein sehr bedeutsames Ereignis. Sie müssen alle betroffenen Besitzer von Anwendungen hiervon in Kenntnis setzen, für den Fall, dass diese das neue Zertifikat zu ihren Anwendungen hinzufügen müssen.
Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels
Sie sollten den Schlüssel einer ausstellenden CA normalerweise bei jeder geplanten CA-Zertifikatserneuerung ändern. (Siehe "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle".) Es kann jedoch vorkommen, das Sie das CA-Zertifikat ohne Änderung des CA-Schlüssels erneuern müssen, etwa wenn Sie beim Ändern der CA-Richtlinien oder beim Erweitern der Gültigkeitsdauer des Zertifikats das Schlüsselpaar beibehalten.
Zusammenfassung
•
Sicherheitsanforderungen: Local Administrators der CA
•
Häufigkeit: Bei Bedarf
•
Erforderliche Technologien:
•
Certutil.exe
•
MSS-Skripts
•
MMC-Snap-In für Zertifizierungsstellen
•
Texteditor
Aufgabendetails
So erneuern Sie das Zertifikat der ausstellenden Zertifizierungsstelle ohne Änderung des Schlüssels
•
Folgen Sie dem Verfahren zum Erneuern des Zertifikats der Stammzertifizierungsstelle, mit dem Unterschied, dass Sie auf Nein klicken, wenn Sie zum Erneuern mit einem neuen Schlüssel aufgefordert werden. Änderungen des Wertes RenewalKeyLength in der Datei CAPolicy.inf haben keine Auswirkungen.
Abgesehen davon, dass Sie bei der Aufforderung zur Erstellung eines neuen Schlüssels auf Nein klicken, unterscheidet sich dieses Verfahren nicht von den Schritten unter "Erneuern des Zertifikats der ausstellenden Zertifizierungsstelle".
Veröffentlichen einer Offlinezertifikatssperrliste und eines Offlinezertifizierungsstellen-Zertifikats
Die Zertifikatssperrliste (Certificate Revocation List, CRL) einer Offline-CA muss online veröffentlicht werden, damit Zertifikatbenutzer den Sperrstatus der gesamten CA-Kette überprüfen können.
Zusammenfassung
•
Sicherheitsanforderungen:
•
Local Administrators der CA
•
Enterprise PKI Publishers
•
Häufigkeit: Alle 6 Monate oder bei Bedarf
•
Erforderliche Technologien:
•
Certutil.exe
•
saludos
gnarff
Hallo,
ist sehr nett von dir mir die Anleitung zu schicken. Leider funktioniert das mit dem erneuern des Zertifikates nicht, da die Zertifikatsstelle tot ist.
Das Snap-In bringt mir nur was, wenn der Dienst auch gestartet ist. Das ist ja der Kreis in dem ich mich immer wieder drehe.
Nach dem Erneuern bekomme ich immer wieder die gleiche Meldung.
Werde auch langsam wahnsinnig. Habe mir jetzt vorgenommen, die Zertifikatsstelle neu aufzusetzen. Ist wahrscheinlich vom Aufwand genauso groß wie den Fehler zu finden.
Einem Bekannten muß ich allerdings recht geben. Es kann ja nicht sein, das wenn das Zertifikat abgelaufen ist, man die ganze Sache neu installieren muß. Bei 2 ausgestellten Zertifikaten ist das nicht schlim, aber was wenn es 300 sind? Zum Glück handelt es sich bei mir im Moment um 3 Zertifikate, aber trotzdem wäre es schön das Problem anderweitig zu lösen.
Gruß
Christian
ist sehr nett von dir mir die Anleitung zu schicken. Leider funktioniert das mit dem erneuern des Zertifikates nicht, da die Zertifikatsstelle tot ist.
Das Snap-In bringt mir nur was, wenn der Dienst auch gestartet ist. Das ist ja der Kreis in dem ich mich immer wieder drehe.
Nach dem Erneuern bekomme ich immer wieder die gleiche Meldung.
Werde auch langsam wahnsinnig. Habe mir jetzt vorgenommen, die Zertifikatsstelle neu aufzusetzen. Ist wahrscheinlich vom Aufwand genauso groß wie den Fehler zu finden.
Einem Bekannten muß ich allerdings recht geben. Es kann ja nicht sein, das wenn das Zertifikat abgelaufen ist, man die ganze Sache neu installieren muß. Bei 2 ausgestellten Zertifikaten ist das nicht schlim, aber was wenn es 300 sind? Zum Glück handelt es sich bei mir im Moment um 3 Zertifikate, aber trotzdem wäre es schön das Problem anderweitig zu lösen.
Gruß
Christian
Hallo Christian!
Wenn die Zertifizierungsstelle tot ist, dann kannst Du sie doch wiederherstellen, da existiert doch eine Sicherungskopie von!
Siehe:
http://technet.microsoft.com/de-de/library/9a3ef557-58b5-4fbf-8ba3-f4f6 ...
"Sie können Schlüssel, Zertifikate und die Zertifikatdatenbank auch mit dem Wiederherstellungs-Assistenten der Zertifizierungsstelle wiederherstellen. Dieser Assistent wird über das MMC-Snap-In der Zertifizierungsstelle geöffnet. Wenn Sie das MMC-Snap-In der Zertifizierungsstelle zur Wiederherstellung der Zertifizierungsstelle verwenden, müssen Sie auch die IIS-Metabase wiederherstellen, wenn sie beschädigt wurde oder verloren gegangen ist."
bzw:
Restore a certification authority from a backup copy unter:
http://technet2.microsoft.com/WindowsServer/en/library/fa164ae5-66b6-43 ...
Using the Windows interface:
1.Log on to the system as a Backup Operator or a Certification Authority Administrator.
2.Open Certification Authority.
3.In the console tree, click the name of the certification authority (CA).
• Certification Authority (Computer)/CA name
4.On the Action menu, point to All Tasks, and click Restore CA.
5.Follow the instructions in the Certification Authority Restore Wizard.
Um so bloed zu fragen, wie das auf den Microsoft-Seiten so ueblich ist:
"War das jetzt hilfreich fuer Sie?"
saludos
gnarff
Wenn die Zertifizierungsstelle tot ist, dann kannst Du sie doch wiederherstellen, da existiert doch eine Sicherungskopie von!
Siehe:
http://technet.microsoft.com/de-de/library/9a3ef557-58b5-4fbf-8ba3-f4f6 ...
"Sie können Schlüssel, Zertifikate und die Zertifikatdatenbank auch mit dem Wiederherstellungs-Assistenten der Zertifizierungsstelle wiederherstellen. Dieser Assistent wird über das MMC-Snap-In der Zertifizierungsstelle geöffnet. Wenn Sie das MMC-Snap-In der Zertifizierungsstelle zur Wiederherstellung der Zertifizierungsstelle verwenden, müssen Sie auch die IIS-Metabase wiederherstellen, wenn sie beschädigt wurde oder verloren gegangen ist."
bzw:
Restore a certification authority from a backup copy unter:
http://technet2.microsoft.com/WindowsServer/en/library/fa164ae5-66b6-43 ...
Using the Windows interface:
1.Log on to the system as a Backup Operator or a Certification Authority Administrator.
2.Open Certification Authority.
3.In the console tree, click the name of the certification authority (CA).
• Certification Authority (Computer)/CA name
4.On the Action menu, point to All Tasks, and click Restore CA.
5.Follow the instructions in the Certification Authority Restore Wizard.
Um so bloed zu fragen, wie das auf den Microsoft-Seiten so ueblich ist:
"War das jetzt hilfreich fuer Sie?"
saludos
gnarff
Die Info war hilfreich, aber ohne Erfolg. Anscheinend wurde diese CA nie gesichert. Folglich liegt auch kein Backup vor. Seit 1 Jahr betreue ich unter anderem diesen Kunden. Was mein Vorgänger alles gemacht oder nicht gemacht hat ist mir manchmal schleierhaft.
Ich gehe mal davon aus, das Windows nicht selbst eine Sicherungskopie anlegt ???!
Um ehrlich zu bleiben muß ich aber sagen, das ich auch selbst erst langsam in die Geschichte reinwachse. Mein Chef hat mir die Möglichkeit eines Quereinstiegs gegeben. Bin zwar vorbelastet, aber mit meinem MCSA 2003 kann ich ohne Erfahrung auch nicht viel reißen. Es gibt halt die Theorie und das wirkliche Leben
Es wird mir wohl nichts anderes übrig bleiben als neu zu installieren
Trotzdem danke ich Dir (Euch) für die schnellen Lösungsansätze und Hilfestellungen!
Werde mich wieder melden, falls ich Probleme mit dem Aufsetzen bekomme, was ich aber nicht glaube (hoffe).
Cu
Christian
Ich gehe mal davon aus, das Windows nicht selbst eine Sicherungskopie anlegt ???!
Um ehrlich zu bleiben muß ich aber sagen, das ich auch selbst erst langsam in die Geschichte reinwachse. Mein Chef hat mir die Möglichkeit eines Quereinstiegs gegeben. Bin zwar vorbelastet, aber mit meinem MCSA 2003 kann ich ohne Erfahrung auch nicht viel reißen. Es gibt halt die Theorie und das wirkliche Leben
Es wird mir wohl nichts anderes übrig bleiben als neu zu installieren
Trotzdem danke ich Dir (Euch) für die schnellen Lösungsansätze und Hilfestellungen!
Werde mich wieder melden, falls ich Probleme mit dem Aufsetzen bekomme, was ich aber nicht glaube (hoffe).
Cu
Christian
Die Info war hilfreich, aber ohne Erfolg.
Anscheinend wurde diese CA nie gesichert.
Folglich liegt auch kein Backup vor.
-snip-Anscheinend wurde diese CA nie gesichert.
Folglich liegt auch kein Backup vor.
Ich gehe mal davon aus, das Windows nicht
selbst eine Sicherungskopie anlegt ???!
Doch, tut es, aber Du muesstest dann den gesamten Server wiederherstellen, ich bin mir nicht sicher ob so ein Aufwand fuer 3 Zertifikate betrieben werden sollte...selbst eine Sicherungskopie anlegt ???!
saludos
gnarff
Auch wenn dieser Beitrag schon sehr alt ist, habe ich (da ich heute das selbe Problem hatte) eine Lösung gefunden. Ist das CA-Zertifikat abgelaufen, so kann man sich folgenden Tricks bedienen:
1.) Datum auf einen Tag vor Zertifikatsablauf zurückdrehen.
2.) CA-Verwaltung starten und das CA-Zertifikat erneuern.
3.) Datum wieder mit der Domäne synchronisieren.
HTH
Sebastian
1.) Datum auf einen Tag vor Zertifikatsablauf zurückdrehen.
2.) CA-Verwaltung starten und das CA-Zertifikat erneuern.
3.) Datum wieder mit der Domäne synchronisieren.
HTH
Sebastian
