Сертификат может не запуститься на компьютере под управлением Windows Server 2003 или Windows 2000

Переводы статьи Переводы статьи
Код статьи: 842210 - Vizualiza?i produsele pentru care se aplic? acest articol.
Развернуть все | Свернуть все

В этой статье

Проблема

На компьютере под управлением Microsoft Windows Server 2003 или Microsoft Windows 2000 Server сертификат может не запуститься.

Кроме того в журнале приложений может регистрироваться следующее сообщение об ошибке:

Тип события: ошибка
Источник события: CertSvc
Категория события: нет
КОД события: 42
Дата: Дата
Время: Время
Пользователь: н/Д
Компьютер: Имя_компьютера
Описание: Службы сертификации не запущены: не удалось построить цепочку сертификатов ЦС для ISICA. Не удается найти объект или свойство. 0x80092004 (-2146885628). Дополнительные сведения содержатся в разделе Центр справки и поддержки в<http: support.microsoft.com=""></http:>

Причина

Перед запуском службы сертификации, перечисляет все ключи и сертификаты, выданные центром сертификации (ЦС), даже если истек срок действия сертификатов и ключей. Службы сертификации не запустится, если один из этих сертификатов был удален из хранилище личных сертификатов локального компьютера.

Решение

Чтобы устранить эту проблему, убедитесь, что число thumbprints сертификатов в реестре равное количество сертификатов, выданных центром сертификации. Если отсутствуют все сертификаты, отсутствующие сертификаты импортируются в хранилище личных сертификатов локального компьютера. После импорта отсутствуют сертификаты с помощью Команда certutil - repairstore Команда исправить связь между импортированные сертификаты и связанные хранилища закрытых ключей.

Для этого воспользуйтесь одним из перечисленных ниже способов в зависимости от версии операционной системы на компьютере.

Метод 1: Windows Server 2003

Чтобы устранить эту проблему на компьютере под управлением Windows Server 2003, выполните следующие действия.

Шаг 1: Найдите отсутствующие сертификаты

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows


Thumbprints сертификата укажите все сертификаты, выданные этим ЦС. При каждом обновлении сертификата новый отпечаток сертификата добавляется в список CaCertHash в реестре. Количество записей в этом списке должно быть равно сертификатов, выданных ЦС и которые перечислены в хранилище личных сертификатов локального компьютера.

Чтобы найти отсутствующие сертификаты, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. В правой области дважды щелкните значок CaCertHash.
  4. Запишите номер сертификата thumbprints, Значение данных содержит список.
  5. Запуск командной строки.
  6. Введите следующую команду и нажмите клавишу ВВОД:
    Команда certutil-хранения
    Сравните количество сертификатов, которые перечислены в хранилище личных сертификатов локального компьютера, номер сертификата thumbprints, перечисленных в разделе реестра CaCertHash. Если номера различаются, перейдите к "шаг 2: импорт сертификатов отсутствует." Если числа совпадают, перейдите к «шаг 3: Установка Windows Server 2003 администрирования средства пакета обновления. "

Шаг 2: Импорт отсутствующих сертификатов

  1. Нажмите кнопку Начало, выберите пункт Все программы, выберите пункт Администрирование, а затем нажмите кнопку Сертификаты.

    Если Сертификаты не отображается в списке, выполните следующие действия:
    1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип MMC, а затем нажмите кнопку ОК.
    2. На Файл меню, нажмите кнопку Добавление и удаление оснастки.
    3. Нажмите кнопку Добавить.
    4. В Объект snap-in Выберите Сертификаты, а затем нажмите кнопку Добавить.

      Если Оснастка диспетчера сертификатов Появится диалоговое окно, нажмите кнопку Моей учетной записи пользователя, а затем нажмите кнопку Окончание.
    5. Нажмите кнопку Закрыть, а затем нажмите кнопку ОК.

      Каталог сертификатов теперь добавляется к консоли управления (MMC).
    6. На Файл меню, нажмите кнопку Сохранить как, тип Сертификаты В диалоговом окне Имя файла поле, а затем нажмите кнопку Сохранить.

      Чтобы открыть сертификаты в будущем, нажмите кнопку Начало, выберите пункт Все программы, выберите пункт Администрирование, а затем нажмите кнопку Сертификаты.
  2. Разверните узел Сертификаты, разверните узел Личные, щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем нажмите кнопку Импорт.
  3. На Добро пожаловать Выберите Далее.
  4. На Файл для импорта Введите полный путь к файлу сертификата, который требуется импортировать в Имя файла поле, а затем нажмите кнопку Далее. Можно также щелкнуть Обзор, найдите файл и нажмите кнопку Далее.
  5. Если файл, который нужно импортировать файл обмена личной информацией - PKCS # 12 (*.Файл PFX), появится приглашение ввести пароль. Введите пароль и нажмите кнопку Далее.
  6. На Хранилище сертификатов Выберите Далее.
  7. На Завершение работы мастера импорта сертификатов Выберите Окончание.
Примечание Всегда центр сертификации публикует сертификаты ЦС его в папку %systemroot%\System32\CertSvc\CertEnroll. В этой папке можно найти отсутствующие сертификаты.

Шаг 3: Установка Windows Server 2003 пакет средств администрирования

После импорта сертификатов, необходимо использовать средство Certutil для восстановления связи между импортированные сертификаты и связанные хранилища закрытых ключей. Программы Certutil состава средств сертификат ЦС. Средства сертификат центра сертификации Windows Server 2003 находятся в пакет средств администрирования Windows Server 2003. Если средства сертификат центра сертификации на компьютере не установлены, установите их.

Загрузить пакет средств администрирования Windows Server 2003, посетите следующий веб-узел корпорации Майкрософт:
http://www.Microsoft.com/downloads/details.aspx?FamilyID = c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3 & DisplayLang = en

Шаг 4: Восстановление связей

После установки пакета средств администрирования Windows Server 2003, выполните следующие действия.
  1. Запуск командной строки.
  2. Введите следующую команду и нажмите клавишу ВВОД:
    %systemroot%\system32\certsrv\certenroll компакт-диска
  3. Запишите сертификата в папку Certenroll, похожее на следующее:
    Имя_сервера.Имеет вид «имя_домена. com_rootca.crt
  4. Введите следующие команды и нажмите клавишу ВВОД после каждой команды:
    %SystemRoot%\system32\certutil - addstore Мой %systemroot%\system32\certsrv\certenroll\Имя_сервера.Имеет вид «имя_домена. com_rootca.crt
    %SystemRoot%\System32\certutil-дамп %systemroot%\system32\certsrv\certenroll\Имя_сервера.Имеет вид «имя_домена. com_rootca.crt
    Имя_сервера.Имеет вид «имя_домена. com_rootca.crt — имя сертификата в папку Certenroll, записанное на шаге 3.
  5. На выходе из последней команды в конце вы увидите строку следующего вида:
    Ключевой идентификатор Hash(sha1): ea c7 7 d 7е e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 09 d9 b6 32 1b
    Хеш ключа идентификатора данных конкретного компьютера. Запомните эту строку.
  6. Введите следующую команду, включая кавычки и нажмите клавишу ВВОД:
    %SystemRoot%\system32\certutil - repairstore my»Key_Id_Hash_Data"
    В этой команде Key_Id_Hash_Data является строкой, записанное на шаге 4. Например введите:
    %SystemRoot%\system32\certutil - repairstore my»EA c7 7 d 7е e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 09 d9 b6 32 1b"
    Затем будут получены следующие результаты:
    CertUtil: команда - repairstore, успешно завершена.
  7. Для проверки сертификатов, введите следующую команду и нажмите клавишу ВВОД:
    %SystemRoot%\system32\certutil - verifykeys
    После выполнения этой команды будут получены следующие результаты:
    CertUtil: команда - verifykeys, успешно завершена.

Шаг 5: Запуск служб сертификации

  1. Нажмите кнопку Начало, выберите пункт Администрирование, а затем нажмите кнопку Службы.
  2. Щелкните правой кнопкой мыши Службы сертификации, а затем нажмите кнопку Начало.

Способ 2: Windows 2000

Чтобы устранить эту проблему на компьютере под управлением Windows 2000, выполните следующие действия.

Шаг 1: Найдите отсутствующие сертификаты

Важные Этот раздел, метод или задача содержит действия, о том, как внести изменения в реестр. Тем не менее при неправильном изменении реестра, могут возникнуть серьезные проблемы. Таким образом Убедитесь, что внимательно выполните следующие действия. Для дополнительной защиты резервную копию реестра перед внесением изменений. Затем при возникновении неполадок можно восстановить реестр. Для получения дополнительных сведений о том, как резервное копирование и восстановление реестра щелкните следующий номер статьи базы знаний Майкрософт:
322756 Резервное копирование и восстановление реестра Windows


Thumbprints сертификата укажите все сертификаты, выданные этим ЦС. При каждом обновлении сертификата новый отпечаток сертификата добавляется в список CaCertHash в реестре. Количество записей в этом списке должно быть равно сертификатов, выданных ЦС и которые перечислены в хранилище личных сертификатов локального компьютера.

Чтобы найти отсутствующие сертификаты, выполните следующие действия.
  1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип regedit, а затем нажмите кнопку ОК.
  2. Найдите и выделите следующий подраздел:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. В правой области дважды щелкните значок CaCertHash.
  4. Запишите номер сертификата thumbprints, Значение данных содержит список.
  5. Запуск командной строки.
  6. Введите следующую команду и нажмите клавишу ВВОД:
    Команда certutil-хранения
    Сравните количество сертификатов, которые перечислены в хранилище личных сертификатов локального компьютера, номер сертификата thumbprints, перечисленных в разделе реестра CaCertHash. Если номера различаются, перейдите к "шаг 2: импорт сертификатов отсутствует." Если числа совпадают, перейдите к «шаг 3: Установка Windows Server 2003 администрирования средства пакета обновления. "

Шаг 2: Импорт отсутствующих сертификатов

  1. Нажмите кнопку Начало, выберите пункт Программы, выберите пункт Администрирование, а затем нажмите кнопку Сертификаты.

    Если сертификаты не отображается в списке, выполните следующие действия.
    1. Нажмите кнопку Начало, нажмите кнопку Запустить, тип MMC, а затем нажмите кнопку ОК.
    2. На Консоль меню, нажмите кнопку Добавление и удаление оснастки.
    3. Нажмите кнопку Добавить
    4. В Объект snap-in Выберите Сертификаты, а затем нажмите кнопку Добавить.

      Если Оснастка диспетчера сертификатов Появится диалоговое окно, нажмите кнопку Моей учетной записи пользователя, а затем нажмите кнопку Окончание.
    5. Нажмите кнопку Закрыть.
    6. Нажмите кнопку ОК.
    7. Каталог сертификатов теперь добавляется к консоли управления (MMC).
    8. На Консоль меню, нажмите кнопку Сохранить как, тип Сертификаты Имя файла и нажмите кнопку Сохранить.

      Чтобы открыть сертификаты в будущем, нажмите кнопку Начало, выберите пункт Программы, выберите пункт Администрирование, а затем нажмите кнопку Сертификаты.
  2. Разверните узел Сертификаты, разверните узел Личные, щелкните правой кнопкой мыши Сертификаты, выберите пункт Все задачи, а затем нажмите кнопку Импорт.
  3. На Добро пожаловать Выберите Далее.
  4. На Файл для импорта Введите полный путь к файлу сертификата, который требуется импортировать в Имя файла поле, а затем нажмите кнопку Далее. Можно также щелкнуть Обзор, найдите файл и нажмите кнопку Далее.
  5. Если файл, который нужно импортировать файл обмена личной информацией - PKCS # 12 (*.(PFX), появится приглашение ввести пароль. Введите пароль и нажмите кнопку Далее.
  6. На Хранилище сертификатов Выберите Далее.
  7. На Завершение работы мастера импорта сертификатов Выберите Окончание.
Примечание Всегда центр сертификации публикует сертификаты ЦС его в папку %systemroot%\System32\CertSvc\CertEnroll. В этой папке можно найти отсутствующие сертификаты.

Шаг 3: Установка средств Windows Server 2003 Certutil

После импорта сертификатов для восстановления связи между импортированные сертификаты и связанные хранилища закрытых ключей необходимо использовать средства сертификат центра сертификации Windows Server 2003.

В версиях Windows Server 2003 Certutil.exe и Certreq.exe включены в пакет средств администрирования Windows Server 2003. Установка средств на компьютере под управлением Windows 2000, необходимо сначала установить пакет средств администрирования Windows Server 2003 на компьютере под управлением Windows Server 2003 или Windows XP с пакетом обновления 1 (SP1) или более поздней версии пакета обновления. Пакет средств администрирования Windows Server 2003 невозможно установить непосредственно на компьютере под управлением Windows 2000.

Важные После копирования средства сертификат центра сертификации Windows Server 2003 на компьютере под управлением Windows 2000, две версии программы Certutil будет находиться на компьютере под управлением Windows 2000. Не удаляйте программы Windows 2000 Certutil. Другие программы, зависят от версии Windows 2000 это средство. Например оснастка MMC Сертификаты требует программы Windows 2000 Certutil. Кроме того не регистрировать файлы Certadm.dll на компьютере под управлением Windows 2000 и Windows Server 2003 Certcli.dll.

Чтобы использовать средства сертификат центра сертификации Windows Server 2003 на компьютере под управлением Windows 2000, выполните следующие действия.
  1. Загрузите пакет средств администрирования Windows Server 2003. Для этого посетите следующий веб-узел корпорации Майкрософт:
    http://www.Microsoft.com/downloads/details.aspx?FamilyID = c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3 & DisplayLang = en
  2. Войдите на компьютер под управлением Windows Server 2003 или Windows XP с пакетом обновления 1 или более поздней версии пакета обновления.
  3. Установка пакета средств администрирования Windows Server 2003.
  4. В Windows Server 2003 пакет средств администрирования найдите следующие файлы и скопировать их на съемном носителе, например 3,5 дюймовых дисков:
    CertReq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. Войдите на компьютер под управлением Windows 2000 с учетной записью администратора.
  6. Вставьте съемный носитель, который использовался в шаге 4 в соответствующий дисковод компьютера под управлением Windows 2000.
  7. Запуск командной строки.
  8. Создать новую папку, а затем скопируйте файлы на съемный носитель в новую папку. Для этого введите следующие команды и нажмите клавишу ВВОД после каждой команды:
    cd\
    MD W2k3tool
    w2k3tool компакт-диска
    копирующий; Removable_Media_Drive_Letter: \cert*
    Примечание Во избежание конфликтов версий программы Certutil, уже на компьютере Windows 2000 включает папку W2k3tool в системном пути поиска.

Шаг 4: Восстановление связей

После копирования файлов сертификатов ЦС средств для Windows Server 2003 на компьютере под управлением Windows 2000, выполните следующие действия.
  1. Запуск командной строки.
  2. Введите следующую команду и нажмите клавишу ВВОД:
    %systemroot\system32\certsrv\certenroll компакт-диска
  3. Запишите сертификата в папку Certenroll, похожее на следующее: Имя_сервера.Имеет вид «имя_домена. com_rootca.crt
  4. Введите следующие команды и нажмите клавишу ВВОД после каждой команды:
    Root_Drive_Letter:\w2k3tool\certutil - addstore Мой %systemroot%\system32\certsrv\certenroll\Имя_сервера.Имеет вид «имя_домена. com_rootca.crt
    Root_Drive_Letter:\w2k3tool\certutil-дамп %systemroot%\system32\certsrv\certenroll\Имя_сервера.Имеет вид «имя_домена. com_rootca.crt
    Root_Drive_Letter -Имя корневого каталога.

    Имя_сервера.Имеет вид «имя_домена. com_rootca.crt — имя сертификата в папку Certenroll, записанное на шаге 3.
  5. На выходе из последней команды в конце вы увидите строку следующего вида:
    Ключевой идентификатор Hash(sha1): ea c7 7 d 7е e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 09 d9 b6 32 1b
    Хеш ключа идентификатора данных конкретного компьютера. Запомните эту строку.
  6. Введите следующую команду, включая кавычки и нажмите клавишу ВВОД:
    Root_Drive_Letter:\w2k3tool\certutil - repairstore my»Key_Id_Hash_Data"
    В этой команде Key_Id_Hash_Data является строкой, записанное на шаге 5. Например введите:
    c:\w2k3tool\certutil - repairstore my»EA c7 7 d 7е e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 09 d9 b6 32 1b"
    После выполнения этой команды будут получены следующие результаты:
    CertUtil: команда - repairstore, успешно завершена.
  7. Для проверки сертификатов, введите следующую команду и нажмите клавишу ВВОД:
    Root_Drive_Letter:\w2k3tool\certutil - verifykeys
    После выполнения этой команды будут получены следующие результаты:
    CertUtil: команда - verifykeys, успешно завершена.

Шаг 5: Запуск служб сертификации

  1. Нажмите кнопку Начало, выберите пункт Администрирование, а затем нажмите кнопку Службы.
  2. Щелкните правой кнопкой мыши Службы сертификации, а затем нажмите кнопку Начало.

Дополнительная информация

Необходимо списать и заменить ЦС, если выполняется одно из следующих условий:
  • Не удается найти отсутствующие сертификаты.
  • Сертификаты, не может быть переустановлен.
  • В Команда certutil - repairstore не удалось завершить команду, так как закрытые ключи были удалены.
Списание и заменить ЦС, выполните следующие действия.
  1. Отзыв сертификатов для центра сертификации, которая перестала работать правильно. Чтобы сделать это, выполните следующие действия.
    1. Войдите в систему с правами администратора на компьютере, выданные сертификаты, которые требуется отменить.
    2. Нажмите кнопку Начало, выберите пункт Программы, выберите пункт Администрирование, а затем нажмите кнопку Центр сертификации.
    3. Разверните узел CA_Name, а затем нажмите кнопку Выданные сертификаты.
    4. В правой области щелкните сертификат, который необходимо отменить.
    5. На Действие Выберите пункт Все задачи, а затем нажмите кнопку Отзыв сертификата.
    6. В Код причины список, выберите причину отзыва сертификата и нажмите кнопку Да.
    Это приведет к отмене всех сертификатов, выданных ЦС, которая перестала работать правильно.
  2. Публикация списка отзыва сертификатов (CRL) на оставшихся ЦС. Чтобы сделать это, выполните следующие действия.
    1. Войдите в систему с правами администратора на компьютере, на котором выполняется следующий наибольший ЦС.
    2. Нажмите кнопку Начало, выберите пункт Программы, выберите пункт Администрирование, а затем нажмите кнопку Центр сертификации.
    3. Разверните узел CA_Name, а затем нажмите кнопку Отозванные сертификаты.
    4. На Действие Выберите пункт Все задачи, а затем нажмите кнопку Публикация.
    5. Нажмите кнопку Да для замены ранее опубликованного списка отзыва Сертификатов.
  3. Если центр сертификации, которая перестала работать правильно был опубликован в службе каталогов Active Directory, удалите его. Удаление центра сертификации из службы каталогов Active Directory, выполните следующие действия.
    1. Запуск командной строки.
    2. Введите следующую команду и нажмите клавишу ВВОД:
      Команда certutil - dsdel CA_Name
  4. Удалите службы сертификации на сервере, где ЦС перестала работать правильно. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Начало, выберите пункт Параметры, а затем нажмите кнопку Панель управления.
    2. Дважды щелкните значок Установка и удаление программ, а затем нажмите кнопку Добавление и удаление компонентов Windows.
    3. В Компоненты список, снимите флажок Службы сертификации Установите флажок, нажмите кнопку Далее, а затем нажмите кнопку Окончание.
  5. Установка служб сертификации. Чтобы сделать это, выполните следующие действия.
    1. Нажмите кнопку Добавление и удаление компонентов Windows.
    2. В Компоненты список, выберите Службы сертификации Установите флажок, нажмите кнопку Далее, а затем нажмите кнопку Окончание.
  6. Всех пользователей, компьютеров или служб с сертификатами, выданными центром сертификации, которая перестала работать правильно необходимо получение сертификата от нового центра сертификации.
Примечание Если эта проблема возникает на корневой ЦС в иерархии инфраструктуры открытого ключа (PKI) и не может быть исправлена проблема, необходимо заменить всей иерархии PKI.Для получения дополнительных сведений об удалении иерархии PKI щелкните следующий номер статьи базы знаний Майкрософт:
889250Инструкции по списанию центра сертификации предприятия Windows и удалить все связанные объекты из Windows Server 2003 и Windows 2000 Server

Свойства

Код статьи: 842210 - Последний отзыв: 17 июня 2011 г. - Revision: 4.0
Информация в данной статье относится к следующим продуктам.
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • операционная система Microsoft Windows 2000 Server
Ключевые слова: 
kbwinservds kbactivedirectory kbtshoot kbprb kbmt KB842210 KbMtru
Переведено с помощью машинного перевода
ВНИМАНИЕ! Перевод данной статьи был выполнен не человеком, а с помощью программы машинного перевода, разработанной корпорацией Майкрософт. Корпорация Майкрософт предлагает вам статьи, переведенные как людьми, так и средствами машинного перевода, чтобы у вас была возможность ознакомиться со статьями базы знаний KB на родном языке. Однако машинный перевод не всегда идеален. Он может содержать смысловые, синтаксические и грамматические ошибки, подобно тому как иностранец делает ошибки, пытаясь говорить на вашем языке. Корпорация Майкрософт не несет ответственности за неточности, ошибки и возможный ущерб, причиненный в результате неправильного перевода или его использования. Корпорация Майкрософт также часто обновляет средства машинного перевода.
Эта статья на английском языке:842210

Отправить отзыв

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com