Windows Server 2003 または Windows 2000 を実行しているコンピューターに証明書サービスが起動せず

文書翻訳 文書翻訳
文書番号: 842210
すべて展開する | すべて折りたたむ

目次

現象

Microsoft Windows Server 2003 または Microsoft Windows 2000 Server を実行しているコンピューターで、証明書サービスを開始可能性があります。

また、イベント ビューアーのアプリケーション ログに、次のエラー メッセージが記録される場合があります。

イベントの種類: エラー
イベント ソース: CertSvc
イベント カテゴリ: なし
イベント ID: 42
作成日: 日付
時刻: 時間
ユーザー: 該当なし
コンピューター: コンピューター名
説明: 証明書サービス開始されなかった: ISICA の CA 証明書チェーンを構築できませんでした。オブジェクトまたはプロパティが見つかりませんでした。0x80092004 (-2146885628)。詳細については、ヘルプとサポート センターで<http: support.microsoft.com=""></http:>

原因

証明書サービスを開始する前に、キーと証明書の期限が切れている場合でも、キーと、証明機関 (CA) が発行した証明書をすべて列挙します。これらの証明書のいずれか、ローカル コンピューターの個人証明書ストアから削除されている場合、証明書サービスは開始されません。

解決方法

この問題を解決するには、証明書の拇印はレジストリ内の CA に発行された証明書の数と同じであることを確認してください。任意の証明書が見つからない場合、不足している証明書をローカル コンピューターの個人証明書ストアにインポートします。存在しない証明書をインポートした後を使用して、 certutil repairstore インポートされた証明書と関連付けられている秘密キー ストア間のリンクを修復するコマンドです。

これを行うには、オペレーティング システムのバージョンによっては、コンピューターが動作中に、次の方法のいずれかを使用します。

方法 1: Windows Server 2003

Windows Server 2003 ベースのコンピューターでこの問題を解決するには、次の手順を実行します。

手順 1: が不足している証明書を検索します。

重要です このセクション、メソッド、またはタスク、レジストリを変更する方法を示す手順が含まれています。ただし、レジストリを誤って変更すると深刻な問題が発生。そのため、慎重にこの手順を実行することを確認します。これを変更する前に追加された保護のため、レジストリのバックアップを作成します。その後、問題が発生した場合、レジストリを復元できます。レジストリを復元する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
322756 Windows でレジストリを復元する方法


この CA に発行されたすべての証明書、証明書の拇印を指定します。証明書を更新、するたびに、新しい証明書の拇印 CaCertHash の一覧には、レジストリに追加されます。このリスト内のエントリ数が CA に提供されているし、ローカル コンピューターの個人証明書ストア内に記載されている証明書の数に等しくなければなりません。

存在しない証明書を検索するには、次の手順を実行します。
  1. クリックしてください。 開始をクリックして 実行、タイプ レジストリ エディター、し [OK].
  2. 見つけて、次のサブキーをクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. 右側のペインでダブルクリックします。 CaCertHash.
  4. 証明書の拇印の数は、メモ、 [値のデータ リストが含まれています。
  5. コマンド プロンプトを起動します。
  6. 次のコマンドを入力し、ENTER キーを押します。
    certutil-ストア
    ローカル コンピューターの個人証明書ストアは、CaCertHash レジストリ エントリに記載されている証明書の拇印の数に記載されている証明書の数を比較します。番号が異なっている場合は、「手順 2: 存在しない証明書をインポートする"。番号が同じである場合は、"手順 3: Windows をインストールする Server 2003 管理ツール パック."

手順 2: 存在しない証明書をインポートします。

  1. クリックしてください。 開始、ポイント すべてのプログラム、ポイント 管理ツール、し 証明書.

    If 証明書 しないは一覧に表示、次の手順を実行します。
    1. クリックしてください。 開始をクリックして 実行、タイプ mmc、し [OK].
    2. で、 ファイル メニューをクリックして 追加またはスナップインの削除.
    3. クリックしてください。 追加.
    4. で、 スナップイン ボックスの一覧でクリックしてください 証明書、し 追加.

      場合は、 証明書スナップイン ダイアログ ボックスが表示されたらをクリックします。 [ユーザー アカウント]、し 終了日.
    5. クリックしてください。 閉じる、し [OK].

      証明書のディレクトリが Microsoft 管理コンソール (MMC) に追加されます。
    6. で、 ファイル メニューをクリックして として保存します。、タイプ 証明書 で、 ファイル名 ボックスとクリック 保存.

      将来の証明書を開きます. 開始、ポイント すべてのプログラム、ポイント 管理ツール、し 証明書.
  2. 展開 証明書を展開 個人を右クリックして 証明書、ポイント すべてのタスク]、し インポート.
  3. で、 ようこそ ページで、クリックしてください 次へ.
  4. で、 ファイルをインポートする ページで、[インポートする証明書ファイルの完全パスを入力、 ファイル名 ボックスとクリック 次へ.また、クリックします。 参照は、ファイルを検索し、クリックして 次へ.
  5. 場合は、インポートするファイルでは、個人情報交換 - PKCS # 12 (* します。PFX) ファイルは、パスワードが要求されます。パスワードを入力しをクリックしてください 次へ.
  6. で、 証明書ストア ページで、クリックしてください 次へ.
  7. で、 証明書のインポート ウィザードの完了 ページで、クリックしてください 終了日.
メモ CA は常に、%systemroot%\System32\CertSvc\CertEnroll フォルダーにその CA の証明書を発行します。不足している証明書は、そのフォルダー内にあります。

手順 3: Windows Server 2003 管理ツール パックをインストールします。

証明書をインポートすると、インポートした証明書と関連付けられている秘密キー ストア間のリンクを修復するのには、Certutil ツールを使用する必要があります。CA 証明書のツールでは、Certutil ツールが含まれています。Windows Server 2003 CA の証明書ツールは、Windows Server 2003 管理ツール パックにあります。CA 証明書のツールがコンピューターにインストールされていない場合は、今すぐインストールします。

Windows Server 2003 管理ツール パックをダウンロードするのには、次のマイクロソフト Web サイトを参照してください。
ドキュメントですか。FamilyID = の c16ae515 ・ c8f4 ・ 47ef ・ a1e4 ・ a8dcbacff8e3 & DisplayLang = en

手順 4: リンクを修復します。

Windows Server 2003 管理ツール パックをインストールした後、次の手順を実行します。
  1. コマンド プロンプトを起動します。
  2. 次のコマンドを入力し、ENTER キーを押します。
    cd %systemroot%\system32\certsrv\certenroll
  3. 証明書は次のように Certenroll フォルダーにメモします。
    Your_Server.Your_Domain。 com_rootca.crt
  4. 次のコマンドを入力し、各コマンドの後で ENTER キーを押します。
    %systemroot%\system32\certutil addstore 私 %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain。 com_rootca.crt
    %systemroot%\System32\certutil ・ %systemroot%\system32\certsrv\certenroll\ のダンプYour_Server.Your_Domain。 com_rootca.crt
    Your_Server.Your_Domain。 com_rootca.crt は、手順 3 でメモした Certenroll フォルダー内の証明書の名前です。
  5. 最後は、近くには、最後のコマンドからの出力は、次のような行が表示されます。
    キー Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 09 d9 b6 32 1b
    キー Id ハッシュ データは、コンピューターに固有です。次の行をメモします。
  6. 引用符を含む次のコマンドを入力し、ENTER キーを押します。
    %systemroot%\system32\certutil repairstore"Key_Id_Hash_Data"
    このコマンドでは、Key_Id_Hash_Data を手順 4 でメモした行です。たとえば、次を入力します。
    %systemroot%\system32\certutil repairstore"ea c7 7d 7e e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 09 d9 b6 32 1b"
    次の出力が表示されます。
    CertUtil: - repairstore コマンドが正常に完了します。
  7. 証明書を確認してください、次のコマンドを入力し、ENTER キーを押しますにします。
    %systemroot%\system32\certutil verifykeys
    このコマンドの実行後、次の出力が表示されます。
    CertUtil: - verifykeys コマンドが正常に完了します。

手順 5: 証明書サービス サービスを開始します。

  1. クリックしてください。 開始、ポイント 管理ツール、し サービス.
  2. 右クリックします。 証明書サービス、し 開始.

方法 2: Windows 2000

Windows 2000 ベースのコンピューターのこの問題を解決するには、次の手順を実行します。

手順 1: が不足している証明書を検索します。

重要です このセクション、メソッド、またはタスク、レジストリを変更する方法を示す手順が含まれています。ただし、レジストリを誤って変更すると深刻な問題が発生。そのため、慎重にこの手順を実行することを確認します。これを変更する前に追加された保護のため、レジストリのバックアップを作成します。その後、問題が発生した場合、レジストリを復元できます。レジストリを復元する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
322756 Windows でレジストリを復元する方法


この CA に発行されたすべての証明書、証明書の拇印を指定します。証明書を更新、するたびに、新しい証明書の拇印 CaCertHash の一覧には、レジストリに追加されます。このリスト内のエントリ数が CA に提供されているし、ローカル コンピューターの個人証明書ストア内に記載されている証明書の数に等しくなければなりません。

存在しない証明書を検索するには、次の手順を実行します。
  1. クリックしてください。 開始をクリックして 実行、タイプ レジストリ エディター、し [OK].
  2. 見つけて、次のサブキーをクリックします。
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. 右側のペインでダブルクリックします。 CaCertHash.
  4. 証明書の拇印の数は、メモ、 [値のデータ リストが含まれています。
  5. コマンド プロンプトを起動します。
  6. 次のコマンドを入力し、ENTER キーを押します。
    certutil-ストア
    ローカル コンピューターの個人証明書ストアは、CaCertHash レジストリ エントリに記載されている証明書の拇印の数に記載されている証明書の数を比較します。番号が異なっている場合は、「手順 2: 存在しない証明書をインポートする"。番号が同じである場合は、"手順 3: Windows をインストールする Server 2003 管理ツール パック."

手順 2: 存在しない証明書をインポートします。

  1. クリックしてください。 開始、ポイント プログラム、ポイント 管理ツール、し 証明書.

    ボックスの一覧で証明書が表示されない場合は、次の手順を実行します。
    1. クリックしてください。 開始をクリックして 実行、タイプ mmc、し [OK].
    2. で、 コンソール メニューをクリックして 追加またはスナップインの削除.
    3. クリックしてください。 追加
    4. で、 スナップイン ボックスの一覧でクリックしてください 証明書、し 追加.

      場合は、 証明書スナップイン ダイアログ ボックスが表示されたらをクリックします。 [ユーザー アカウント]、し 終了日.
    5. クリックしてください。 閉じる.
    6. クリックしてください。 [OK].
    7. 証明書のディレクトリが Microsoft 管理コンソール (MMC) に追加されます。
    8. で、 コンソール メニューをクリックして として保存します。、タイプ 証明書 ファイル名、およびクリックとして 保存.

      将来の証明書を開きます. 開始、ポイント プログラム、ポイント 管理ツール、し 証明書.
  2. 展開 証明書を展開 個人を右クリックして 証明書、ポイント すべてのタスク]、し インポート.
  3. で、 ようこそ ページで、クリックしてください 次へ.
  4. で、 ファイルをインポートする ページで、[インポートする証明書ファイルの完全パスを入力、 ファイル名 ボックスとクリック 次へ.また、クリックします。 参照は、ファイルを検索し、クリックして 次へ.
  5. 場合は、インポートするファイルでは、個人情報交換 - PKCS # 12 (* します。PFX)、パスワードが要求されます。パスワードを入力しをクリックしてください 次へ.
  6. で、 証明書ストア ページで、クリックしてください 次へ.
  7. で、 証明書のインポート ウィザードの完了 ページで、クリックしてください 終了日.
メモ CA は常に、%systemroot%\System32\CertSvc\CertEnroll フォルダーにその CA の証明書を発行します。不足している証明書は、そのフォルダー内にあります。

手順 3: Windows Server 2003 に関する Certutil ツールをインストールします。

証明書をインポートすると、インポートした証明書と関連付けられている秘密キー ストア間のリンクを修復するのには、Windows Server 2003 CA 証明書のツールを使用する必要があります。

Windows Server 2003 バージョンの Certutil.exe および Certreq.exe Windows Server 2003 管理ツール パックに含まれています。Windows 2000 ベースのコンピューターで、ツールをインストールするには、まず、Windows Server 2003 管理ツール パック Windows Server 2003 または Microsoft Windows XP Service Pack 1 (SP1) またはそれ以降の service pack を実行しているコンピューターでインストールしてください。直接は、Windows 2000 ベースのコンピューターが Windows Server 2003 管理ツール パックをインストールできません。

重要です Windows Server 2003 CA 証明書のツール、Windows 2000 ベースのコンピューターにコピーした後、2 つのバージョンは、Certutil ツールを Windows 2000 ベースのコンピューター上に置かれます。Windows 2000 の Certutil ツールを削除しないでください。他のプログラムは、このツールの Windows 2000 バージョンによって異なります。たとえば、[証明書] MMC スナップインは、Windows 2000 の Certutil ツールが必要です。また、Windows サーバー 2003 Certcli.dll と Certadm.dll ファイル、Windows 2000 ベースのコンピューターを登録しません。

Windows 2000 ベースのコンピューターで、Windows Server 2003 CA 証明書のツールを使用するには、次の手順を実行します。
  1. Windows Server 2003 管理ツール パックをダウンロードします。これを行うには、次のマイクロソフト Web サイトを参照してください。
    ドキュメントですか。FamilyID = の c16ae515 ・ c8f4 ・ 47ef ・ a1e4 ・ a8dcbacff8e3 & DisplayLang = en
  2. Windows Server 2003 または Windows XP sp1 またはそれ以降の service pack を実行しているコンピューターにログオンします。
  3. Windows Server 2003 管理ツール パックをインストールします。
  4. Windows Server 2003 管理ツール パックは次のファイルを検索し、3.5 インチ ディスクなど、リムーバブル記憶域メディアにコピーします。
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. Windows 2000 ベースのコンピューターに管理者としてログオンします。
  6. Windows 2000 ベースのコンピューターの適切なドライブに手順 4 で使用、リムーバブル記憶域メディアを挿入します。
  7. コマンド プロンプトを起動します。
  8. 新しいフォルダーを作成し、リムーバブル記憶域メディア上のファイルを新しいフォルダーにコピーします。これを行うには、次のコマンドを入力し、各コマンドの後で ENTER キーを押します。
    cd\
    md W2k3tool
    cd w2k3tool
    {{コピー}} Removable_Media_Drive_Letter: \cert*
    メモ コンピューターでは、Certutil ツールを Windows 2000 バージョンの競合を回避するには、W2k3tool フォルダー、システム検索パスに含まれません。

手順 4: リンクを修復します。

Windows 2000 ベースのコンピューターに Windows Server 2003 CA の証明書のツール ファイルをコピーした後、次の手順を実行します。
  1. コマンド プロンプトを起動します。
  2. 次のコマンドを入力し、ENTER キーを押します。
    cd %systemroot\system32\certsrv\certenroll
  3. 証明書は次のように Certenroll フォルダーにメモします。 Your_Server.Your_Domain。 com_rootca.crt
  4. 次のコマンドを入力し、各コマンドの後で ENTER キーを押します。
    Root_Drive_Letter:\w2k3tool\certutil addstore 私 %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain。 com_rootca.crt
    Root_Drive_Letter:\w2k3tool\certutil ・ %systemroot%\system32\certsrv\certenroll\ のダンプYour_Server.Your_Domain。 com_rootca.crt
    Root_Drive_Letter ルート ディレクトリの文字です。

    Your_Server.Your_Domain。 com_rootca.crt は、手順 3 でメモした Certenroll フォルダー内の証明書の名前です。
  5. 最後は、近くには、最後のコマンドからの出力は、次のような行が表示されます。
    キー Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 09 d9 b6 32 1b
    キー Id ハッシュ データは、コンピューターに固有です。次の行をメモします。
  6. 引用符を含めて、次のコマンドを入力し、ENTER キーを押します。
    Root_Drive_Letter:\w2k3tool\certutil repairstore"Key_Id_Hash_Data"
    このコマンドでは、Key_Id_Hash_Data を手順 5 でメモした行です。たとえば、次を入力します。
    c:\w2k3tool\certutil repairstore"ea c7 7d 7e e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 09 d9 b6 32 1b"
    このコマンドを完了すると、次の出力を受け取ります。
    CertUtil: - repairstore コマンドが正常に完了します。
  7. 証明書を確認するのには、次のコマンドを入力し、ENTER キーを押します。
    Root_Drive_Letter:\w2k3tool\certutil verifykeys
    このコマンドの実行後、次の出力が表示されます。
    CertUtil: - verifykeys コマンドが正常に完了します。

手順 5: 証明書サービス サービスを開始します。

  1. クリックしてください。 開始、ポイント 管理ツール、し サービス.
  2. 右クリックします。 証明書サービス、し 開始.

詳細

稼動を停止し、次の条件のいずれかに該当する場合、CA を交換する必要があります。
  • 不足している証明書が見つかりません。
  • 証明書を再インストールすることはできません。
  • は、 certutil repairstore 秘密キーが削除されているためコマンドを完了できません。
非コミッションにするには、CA を置き換えるには、次の手順を実行します。
  1. 正常に停止した CA の証明書を失効します。これを行うには、次の手順を実行します。
    1. 失効させる証明書を発行したコンピューターに管理者としてログオンします。
    2. クリックしてください。 開始、ポイント プログラム、ポイント 管理ツール、し 証明機関.
    3. 展開 CA_Name、し 証明書の発行.
    4. 右側のウィンドウで、失効する証明書をクリックします。
    5. で、 アクション メニューのポイント すべてのタスク]、し 証明書を失効します。.
    6. で、 理由コード リスト、証明書を失効する理由をクリックし、クリックしてください [はい].
    これは正常に停止した CA によって発行されたすべての証明書を失効します。
  2. 最大値の CA で証明書失効リスト (CRL) を公開します。これを行うには、次の手順を実行します。
    1. 次の最上位 CA を実行しているコンピューターに管理者としてログオンします。
    2. クリックしてください。 開始、ポイント プログラム、ポイント 管理ツール、し 証明機関.
    3. 展開 CA_Name、し 失効した証明書.
    4. で、 アクション メニューのポイント すべてのタスク]、し 発行.
    5. クリックしてください。 [はい] 以前に発行された CRL を上書きします。
  3. Active Directory ディレクトリ サービスに公開された CA が正しく動作しなくなった場合は、それを削除します。Active Directory から CA を削除するには、次の手順を実行します。
    1. コマンド プロンプトを起動します。
    2. 次のコマンドを入力し、ENTER キーを押します。
      certutil dsdel CA_Name
  4. 証明書サービスは CA が正常に動作を停止したサーバーから削除します。これを行うには、次の手順を実行します。
    1. クリックしてください。 開始、ポイント 設定、し コントロール パネル.
    2. ダブルクリック プログラムの追加と削除、し [Windows コンポーネントの追加と削除.
    3. で、 コンポーネント リストで、クリックしてをオフにするのには、 証明書サービス チェック ボックスをオン、クリックしてください 次へ、し 終了日.
  5. 証明書サービスをインストールします。これを行うには、次の手順を実行します。
    1. クリックしてください。 [Windows コンポーネントの追加と削除.
    2. で、 コンポーネント リストで、クリックしてを選択するのには、 証明書サービス チェック ボックスをオン、クリックしてください 次へ、し 終了日.
  6. すべてのユーザー、コンピューター、またはサービスが正常に動作を停止した CA によって発行された証明書を持つ新しい CA からの証明書を登録する必要があります。
メモ 公開キー基盤 (PKI) 階層のルート CA でのこの問題が発生した場合、問題を修復できない場合は、PKI 階層全体を置き換える必要があります。PKI の階層を削除する方法の詳細については、Knowledge Base の資料を参照するのには、次の資料番号をクリックしてください。
889250Windows エンタープライズ証明機関を解除する方法、および Windows Server 2003 および Windows 2000 Server から関連するすべてのオブジェクトを削除する方法

プロパティ

文書番号: 842210 - 最終更新日: 2011年7月30日 - リビジョン: 5.0
キーワード:?
kbtshoot kbactivedirectory kbprb kbwinservds kbmt KB842210 KbMtja
機械翻訳の免責
重要: このサポート技術情報 (以下「KB」) は、翻訳者による翻訳の代わりに、マイクロソフト機械翻訳システムによって翻訳されたものです。マイクロソフトは、お客様に、マイクロソフトが提供している全ての KB を日本語でご利用いただけるように、翻訳者による翻訳 KB に加え機械翻訳 KB も提供しています。しかしながら、機械翻訳の品質は翻訳者による翻訳ほど十分ではありません。誤訳や、文法、言葉使い、その他、たとえば日本語を母国語としない方が日本語を話すときに間違えるようなミスを含んでいる可能性があります。マイクロソフトは、機械翻訳の品質、及び KB の内容の誤訳やお客様が KB を利用されたことによって生じた直接または間接的な問題や損害については、いかなる責任も負わないものとします。マイクロソフトは、機械翻訳システムの改善を継続的に行っています。
英語版 KB:842210
Microsoft Knowledge Base の免責: Microsoft Knowledge Baseに含まれている情報は、いかなる保証もない現状ベースで提供されるものです。Microsoft Corporation及びその関連会社は、市場性および特定の目的への適合性を含めて、明示的にも黙示的にも、一切の保証をいたしません。さらに、Microsoft Corporation及びその関連会社は、本文書に含まれている情報の使用及び使用結果につき、正確性、真実性等、いかなる表明・保証も行ないません。Microsoft Corporation、その関連会社及びこれらの権限ある代理人による口頭または書面による一切の情報提供またはアドバイスは、保証を意味するものではなく、かつ上記免責条項の範囲を狭めるものではありません。Microsoft Corporation、その関連会社 及びこれらの者の供給者は、直接的、間接的、偶発的、結果的損害、逸失利益、懲罰的損害、または特別損害を含む全ての損害に対して、状況のいかんを問わず一切責任を負いません。(Microsoft Corporation、その関連会社 またはこれらの者の供給者がかかる損害の発生可能性を了知している場合を含みます。) 結果的損害または偶発的損害に対する責任の免除または制限を認めていない地域においては、上記制限が適用されない場合があります。なお、本文書においては、文書の体裁上の都合により製品名の表記において商標登録表示、その他の商標表示を省略している場合がありますので、予めご了解ください。

フィードバック

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com