Die Zertifikatüberprüfung schlägt fehl, wenn ein Zertifikat über mehrere vertrauenswürdige Zertifizierungspfade zu Stammzertifizierungsstellen verfügt.

  • Artikel

Dieser Artikel bietet Umgehungsmöglichkeiten für ein Problem, bei dem das von einer Website präsentierte Sicherheitszertifikat nicht ausgestellt wird, wenn es mehrere vertrauenswürdige Zertifizierungspfade für Stammzertifizierungsstellen enthält.

Gilt für: Windows 7 Service Pack 1, Windows Server 2012 R2
Ursprüngliche KB-Nummer: 2831004

Problembeschreibung

Wenn eine Person versucht, auf eine gesicherte Website zuzugreifen, erhält diese die folgende Warnmeldung im Webbrowser:

Es besteht ein Problem mit dem Sicherheitszertifikat dieser Website.

Das für diese Website angezeigte Sicherheitszertifikat wurde nicht von einer vertrauenswürdigen Zertifizierungsstelle ausgestellt.

Nachdem die Person auf „Weiter zu dieser Website“ klickt (nicht empfohlen), kann sie auf die gesicherte Website zugreifen.

Ursache

Dieses Problem tritt auf, weil das Websitezertifikat über mehrere vertrauenswürdige Zertifizierungspfade auf dem Webserver verfügt.

Angenommen, der von Ihnen verwendete Clientcomputer vertraut dem Zertifikat der Stammzertifizierungsstelle (CA) (2). Und der Webserver vertraut dem Zertifikat der Stammzertifizierungsstelle (1) und dem Zertifikat der Stammzertifizierungsstelle (2). Zusätzlich weist das Zertifikat die folgenden beiden Zertifizierungspfade zu den vertrauenswürdigen Stammzertifizierungsstellen auf dem Webserver auf:

  1. Zertifizierungspfad 1: Websitezertifikat - Zertifikat der Zwischenzertifizierungsstelle - Zertifikat der Stammzertifizierungsstelle (1)
  2. Zertifizierungspfad 2: Websitezertifikat - Zertifikat der Zwischenzertifizierungsstelle - Übergreifendes Zertifikat der Stammzertifizierungsstelle - Zertifikat der Stammzertifizierungsstelle (2)

Wenn der Computer während des Zertifikatüberprüfungsprozesses mehrere vertrauenswürdige Zertifizierungspfade findet, wählt Microsoft CryptoAPI den besten Zertifizierungspfad aus, indem die Bewertung jeder Kette berechnet wird. Eine Bewertung wird basierend auf der Qualität und Menge der Informationen berechnet, die ein Zertifikatpfad bereitstellen kann. Wenn die Bewertungen für die mehreren Zertifizierungspfade identisch sind, wird die kürzeste Kette ausgewählt.

Wenn Zertifizierungspfad 1 und Zertifizierungspfad 2 die gleiche Qualitätsbewertung aufweisen, wählt CryptoAPI den kürzeren Pfad (Zertifizierungspfad 1) aus und sendet den Pfad an den Client. Der Clientcomputer kann das Zertifikat jedoch nur mithilfe des längeren Zertifizierungspfads überprüfen, der mit dem Zertifikat der Stammzertifizierungsstelle (2) verknüpft ist. Die Zertifikatüberprüfung schlägt daher fehl.

Problemumgehung

Um dieses Problem zu umgehen, löschen oder deaktivieren Sie das Zertifikat aus dem Zertifizierungspfad, den Sie nicht verwenden möchten, indem Sie die folgenden Schritte ausführen:

  1. Melden Sie sich als Systemadministrator beim Webserver an.

  2. Fügen Sie das Zertifikat-Snap-In zur Microsoft Management Console hinzu, indem Sie die folgenden Schritte ausführen:

    1. Klicken Sie auf „Start>Ausführen“, geben Sie „mmc“ ein und drücken Sie die EINGABETASTE.
    2. Klicken Sie im Menü Datei auf Snap-In hinzufügen/entfernen.
    3. Wählen Sie Zertifikate aus, klicken Sie auf „Hinzufügen“, „Computerkonto“ und dann auf „Weiter“.
    4. Wählen Sie Lokaler Computer (der Computer, auf dem diese Konsole ausgeführt wird) aus und klicken Sie dann auf „Fertig stellen“.
    5. Klicken Sie auf OK.

  3. Erweitern Sie Zertifikate (lokaler Computer) in der Verwaltungskonsole und suchen Sie dann das Zertifikat im Zertifikatpfad, den Sie nicht verwenden möchten.

    Hinweis

    Wenn es sich bei dem Zertifikat um ein Zertifikat der Stammzertifizierungsstelle handelt, ist es in vertrauenswürdigen Stammzertifizierungsstellen enthalten. Wenn es sich bei dem Zertifikat um ein Zertifikat einer Zwischenzertifizierungsstelle handelt, ist es in den Zwischenzertifizierungsstellen enthalten.

  4. Löschen oder deaktivieren Sie das Zertifikat mithilfe einer der folgenden Methoden:

    • Klicken Sie zum Löschen eines Zertifikats mit der rechten Maustaste auf das Zertifikat und dann auf „Löschen“.
    • Klicken Sie zum Deaktivieren eines Zertifikats mit der rechten Maustaste auf das Zertifikat, klicken Sie auf „Eigenschaften“, wählen Sie „Alle Zwecke für dieses Zertifikat deaktivieren“ aus und klicken Sie dann auf „OK“.

  5. Starten Sie den Server neu, wenn das Problem weiterhin besteht.

Wenn die Gruppenrichtlinieneinstellung Automatisches Aktualisieren von Stammzertifikaten deaktivieren auf dem Server deaktiviert oder nicht konfiguriert ist, wird das Zertifikat aus dem Zertifizierungspfad, den Sie nicht verwenden möchten, möglicherweise aktiviert oder installiert, wenn die nächste Kette erstellt wird. Um die Gruppenrichtlinieneinstellung zu ändern, gehen Sie wie folgt vor:

  1. Klicken Sie auf „Start>Ausführen“, geben Sie „gpedit.msc“ ein und drücken Sie die EINGABETASTE.

  2. Erweitern Sie Computerkonfiguration>Administrative Vorlagen>System>Internetkommunikationsverwaltung und klicken Sie dann auf „Internetkommunikationseinstellungen“.

  3. Doppelklicken Sie auf „Automatisches Stammzertifikatupdate deaktivieren“, wählen Sie „Aktiviert“ aus und klicken Sie dann auf „OK“.

  4. Schließen Sie den Editor für lokale Gruppenrichtlinien.

Status

Es handelt sich hierbei um ein beabsichtigtes Verhalten.