Sertifika Hizmetleri, Windows Server 2003 veya Windows 2000 çalıştıran bir bilgisayarda başlatılamayabilir

Bu makalede, Sertifika Hizmetleri'nin (CS) Windows Server 2003 veya Windows 2000 çalıştıran bir bilgisayarda başlatılmaması sorununa yönelik bir çözüm sağlanır.

Şunlar için geçerlidir: Windows 10 - tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 842210

Belirtiler

Microsoft Windows Server 2003 veya Microsoft Windows 2000 Server çalıştıran bir bilgisayarda Sertifika Hizmetleri başlatılamayabilir.

Ayrıca, Olay Görüntüleyicisi Uygulama günlüğüne aşağıdaki hata iletisi kaydedilebilir.

Neden

Sertifika Hizmetleri başlamadan önce, anahtarlar ve sertifikaların süresi dolmuş olsa bile sertifika yetkilisine (CA) verilen tüm anahtarları ve sertifikaları numaralandırır. Bu sertifikalardan herhangi biri yerel bilgisayar Kişisel sertifika deposundan kaldırılmışsa Sertifika Hizmetleri başlatılmaz.

Çözüm

Bu sorunu çözmek için kayıt defterindeki sertifika parmak izi sayısının CA'ya verilmiş sertifika sayısına eşit olduğunu doğrulayın. Eksik sertifikalar varsa, eksik sertifikaları yerel bilgisayar Kişisel sertifika deposuna aktarın. Eksik sertifikaları içeri aktardıktan sonra, içeri aktarılan sertifikalarla ilişkili özel anahtar deposu arasındaki bağlantıyı onarmak için komutunu kullanın certutil -repairstore .

Bunu yapmak için, bilgisayarınızın hangi işletim sistemi sürümünün çalıştığına bağlı olarak aşağıdaki yöntemlerden birini kullanın.

Yöntem 1: Windows Server 2003

Windows Server 2003 tabanlı bir bilgisayarda bu sorunu çözmek için aşağıdaki adımları izleyin.

1. Adım: Eksik sertifikaları arayın

Sertifika parmak izleri, bu CA'ya verilmiş olan tüm sertifikaları gösterir. Bir sertifika her yenilendiğinde, kayıt defterindeki CaCertHash listesine yeni bir sertifika parmak izi eklenir. Bu listedeki girdi sayısı, CA'ya verilen ve yerel bilgisayar Kişisel sertifika deposunda listelenen sertifika sayısına eşit olmalıdır.

Eksik sertifikaları aramak için şu adımları izleyin:

1. Başlat'ı seçin, Çalıştır'ı seçin, regedit yazın ve tamam'ı seçin.

2. Aşağıdaki alt anahtarı bulun ve seçin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

3. Sağ bölmede CaCertHash öğesine çift tıklayın.

4. Değer veri listesinin içerdiği sertifika parmak izi sayısını not edin.

5. Komut İstemi'ni başlatın.

6. Aşağıdaki komutu yazın ve ENTER tuşuna basın: certutil -store

   Yerel bilgisayar Kişisel sertifika deposunda listelenen sertifika sayısını CaCertHash kayıt defteri girdisinde listelenen sertifika parmak izi sayısıyla karşılaştırın. Sayılar farklıysa 2. Adım: Eksik sertifikaları içeri aktar'a gidin. Sayılar aynıysa , 3. Adım: Windows Server 2003 Yönetim Araçları Paketini Yükleme'ye gidin.

2. Adım: Eksik sertifikaları içeri aktarma

1. Başlat'ı seçin, Tüm Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve sertifikalar'ı seçin.

   Sertifikalar listede görünmüyorsa şu adımları izleyin:

   1. Başlat'ı seçin, Çalıştır'ı seçin, mmc yazın ve ardından Tamam'ı seçin.

   2. Dosya menüsünde Ek Bileşen Ekle/Kaldır'ı seçin.

   3. Ekle'yi seçin.

   4. Ek Bileşen listesinde Sertifikalar'ı ve ardından Ekle'yi seçin.

      Sertifikalar ek bileşeni iletişim kutusu görüntülenirse Kullanıcı hesabım'ı ve ardından Son'u seçin.

   5. Kapat'ı ve ardından Tamam'ı seçin.

      Sertifikalar dizini artık Microsoft Yönetim Konsolu'na (MMC) eklenir.

   6. Dosya menüsünde Farklı kaydet'i seçin, Dosya adı kutusuna Sertifikalar yazın ve kaydet'i seçin.

      Gelecekte Sertifikalar'ı açmak için Başlat'ı seçin, Tüm Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve sertifikalar'ı seçin.

2. Sertifikalar'ı genişletin, Kişisel'i genişletin, Sertifikalar'a sağ tıklayın, Tüm Görevler'in üzerine gelin ve İçeri Aktar'ı seçin.

3. Hoş Geldiniz sayfasında, İleri'ye tıklatın.

4. İçeri Aktaracak Dosya sayfasında, Dosya adı kutusuna içeri aktarmak istediğiniz sertifika dosyasının tam yolunu yazın ve İleri'yi seçin. Bunun yerine Gözat'ı seçin, dosyayı arayın ve ardından İleri'yi seçin.

5. İçeri aktarmak istediğiniz dosya kişisel bilgi değişimi ise - PKCS #12 (*. PFX) dosyasından parola istenir. Parolayı yazın ve İleri'yi seçin.

6. Sertifika Deposu sayfasında İleri'yi seçin.

7. Sertifika İçeri Aktarma Sihirbazı Tamamlanıyor sayfasında Son'u seçin.

3. Adım: Windows Server 2003 Yönetim Araçları Paketi'ni yükleme

Sertifikaları içeri aktardıktan sonra, içeri aktarılan sertifikalarla ilişkili özel anahtar deposu arasındaki bağlantıyı onarmak için Certutil aracını kullanmanız gerekir. Certutil aracı CA Sertifika Araçları'na dahildir. Windows Server 2003 CA Sertifika Araçları, Windows Server 2003 Yönetim Araçları Paketi'nde bulunur. CA Sertifika Araçları bilgisayarınızda yüklü değilse, bunları şimdi yükleyin.

4. Adım: Bağlantıları onarma

Windows Server 2003 Yönetim Araçları Paketi'ni yükledikten sonra şu adımları izleyin:

1. Komut İstemi'ni başlatın.

2. Aşağıdakileri yazın ve ENTER tuşuna basın:
   cd %systemroot%\system32\certsrv\certenroll

3. Certenroll klasöründe aşağıdakine benzeyen sertifikayı not edin: Your_Server. Your_Domain.com_rootca.crt

4. Aşağıdaki komutları yazın ve her komutun ardından ENTER tuşuna basın: %systemroot%\system32\certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt%systemroot%\System32\certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crtYour_Server.Etki_Alanınız.com_rootca.crt, 3. adımda not ettiğiniz Certenroll klasöründeki sertifikanın adıdır.

5. Son komutun çıkışında, sonuna yakın bir alanda aşağıdakine benzer bir satır görürsünüz:
   Anahtar Kimliği Karması (sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
   Anahtar Kimliği Karması verileri bilgisayarınıza özgüdür. Bu satırı not edin.

6. Tırnak işaretleri dahil olmak üzere aşağıdaki komutu yazın ve ENTER tuşuna basın:
   %systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data"

   Bu komutta, Key_Id_Hash_Data 4. adımda not ettiğiniz satırdır. Örneğin, aşağıdakileri yazın:
   %systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

   Ardından aşağıdaki çıkışı alırsınız:

   CertUtil: -repairstore komutu başarıyla tamamlandı.

7. Sertifikaları doğrulamak için aşağıdakileri yazın ve ENTER tuşuna basın:
   %systemroot%\system32\certutil -verifykeys Bu komut çalıştırıldıktan sonra aşağıdaki çıkışı alırsınız:

   CertUtil: -verifykeys komutu başarıyla tamamlandı.

5. Adım: Sertifika Hizmetleri hizmetini başlatma

1. Başlat'ı seçin, Yönetimsel Araçlar'ın üzerine gelin ve hizmetler'i seçin.
2. Sertifika Hizmetleri'ne sağ tıklayın ve ardından Başlat'ı seçin.

Yöntem 2: Windows 2000

Windows 2000 tabanlı bir bilgisayarda bu sorunu çözmek için aşağıdaki adımları izleyin.

1. Adım: Eksik sertifikaları arama

Sertifika parmak izleri, bu CA'ya verilmiş olan tüm sertifikaları gösterir. Bir sertifika her yenilendiğinde, kayıt defterindeki CaCertHash listesine yeni bir sertifika parmak izi eklenir. Bu listedeki girdi sayısı, CA'ya verilen ve yerel bilgisayar Kişisel sertifika deposunda listelenen sertifika sayısına eşit olmalıdır.

Eksik sertifikaları aramak için şu adımları izleyin:

1. Başlat'ı seçin, Çalıştır'ı seçin, regedit yazın ve tamam'ı seçin.

2. Aşağıdaki alt anahtarı bulun ve seçin: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

3. Sağ bölmede CaCertHash öğesine çift tıklayın.

4. Değer veri listesinin içerdiği sertifika parmak izi sayısını not edin.

5. Komut İstemi'ni başlatın.

6. Aşağıdakileri yazın ve ENTER tuşuna basın: certutil -store

Yerel bilgisayar Kişisel sertifika deposunda listelenen sertifika sayısını CaCertHash kayıt defteri girdisinde listelenen sertifika parmak izi sayısıyla karşılaştırın. Sayılar farklıysa 2. Adım: Eksik sertifikaları içeri aktar'a gidin. Sayılar aynıysa , 3. Adım: Windows Server 2003 Yönetim Araçları Paketini Yükleme'ye gidin.

2. Adım: Eksik sertifikaları içeri aktarma

1. Başlat'ı seçin, Programlar'ın üzerine gelin, Yönetim Araçları'nın üzerine gelin ve sertifikalar'ı seçin.

   Sertifikalar listede görünmüyorsa şu adımları izleyin:

   1. Başlat'ı seçin, Çalıştır'ı seçin, mmc yazın ve ardından Tamam'ı seçin.
   2. Konsol menüsünde Ek Bileşen Ekle/Kaldır'ı seçin.
   3. Ekle'yi seçin
   4. Ek Bileşen listesinde Sertifikalar'ı ve ardından Ekle'yi seçin.

   Sertifikalar ek bileşeni iletişim kutusu görüntülenirse Kullanıcı hesabım'ı ve ardından Son'u seçin. 5. Kapat'ı seçin. 6. Tamam'ı seçin. 7. Sertifikalar dizini artık Microsoft Yönetim Konsolu'na (MMC) eklenir. 8. Konsol menüsünde Farklı kaydet'i seçin, dosya adı olarak Sertifikalar yazın ve kaydet'i seçin.

   Gelecekte Sertifikalar'ı açmak için Başlat'ı seçin, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve sertifikalar'ı seçin.

2. Sertifikalar'ı genişletin, Kişisel'i genişletin, Sertifikalar'a sağ tıklayın, Tüm Görevler'in üzerine gelin ve İçeri Aktar'ı seçin.

3. Hoş Geldiniz sayfasında, İleri'ye tıklatın.

4. İçeri Aktaracak Dosya sayfasında, Dosya adı kutusuna içeri aktarmak istediğiniz sertifika dosyasının tam yolunu yazın ve İleri'yi seçin. Bunun yerine Gözat'ı seçin, dosyayı arayın ve ardından İleri'yi seçin.

5. İçeri aktarmak istediğiniz dosya kişisel bilgi değişimi ise - PKCS #12 (*. PFX), sizden parola istenir. Parolayı yazın ve İleri'yi seçin.

6. Sertifika Deposu sayfasında İleri'yi seçin.

7. Sertifika İçeri Aktarma Sihirbazı Tamamlanıyor sayfasında Son'u seçin.

3. Adım: Windows Server 2003 Certutil araçlarını yükleme

Sertifikaları içeri aktardıktan sonra, içeri aktarılan sertifikalarla ilişkili özel anahtar deposu arasındaki bağlantıyı onarmak için Windows Server 2003 CA Sertifika Araçları'nı kullanmanız gerekir.

Certutil.exe ve Certreq.exe Windows Server 2003 sürümleri Windows Server 2003 Yönetim Araçları Paketi'ne dahildir. Araçları Windows 2000 tabanlı bir bilgisayara yüklemek için, önce Windows Server 2003 Yönetim Araçları Paketi'ni Windows Server 2003 veya Microsoft Windows XP Service Pack 1 (SP1) veya sonraki bir hizmet paketi çalıştıran bir bilgisayara yüklemeniz gerekir. Windows Server 2003 Yönetim Araçları Paketi doğrudan Windows 2000 tabanlı bir bilgisayara yüklenemez.

Windows 2000 tabanlı bir bilgisayarda Windows Server 2003 CA Sertifika Araçları'nı kullanmak için şu adımları izleyin:

1. Windows Server 2003 Yönetim Araçları Paketi'ni indirme

2. Windows Server 2003 veya WINDOWS XP SP1 veya sonraki bir hizmet paketi çalıştıran bir bilgisayarda oturum açın.

3. Windows Server 2003 Yönetim Araçları Paketi'ni yükleyin.

4. Windows Server 2003 Yönetim Araçları Paketi'nde aşağıdaki dosyaları bulun ve bunları 3,5 inç disk gibi çıkarılabilir bir depolama ortamına kopyalayın:
   Certreq.exe
   Certutil.exe
   Certcli.dll
   Certadm.dll

5. Windows 2000 tabanlı bilgisayarda yönetici olarak oturum açın.

6. 4. adımda kullandığınız çıkarılabilir depolama ortamını Windows 2000 tabanlı bilgisayarın uygun sürücüsüne takın.

7. Komut İstemi'ni başlatın.

8. Yeni bir klasör oluşturun ve ardından çıkarılabilir depolama ortamındaki dosyaları yeni klasöre kopyalayın. Bunu yapmak için aşağıdaki komutları yazın ve her komutun ardından ENTER tuşuna basın:
   Cd\
   md W2k3tool
   cd w2k3tool
   copy Removable_Media_Drive_Letter:\cert*

   Not

   Certutil aracının bilgisayarınızda bulunan Windows 2000 sürümleriyle çakışmaları önlemek için sistem arama yolunuzda W2k3tool klasörünü eklemeyin.

4. Adım: Bağlantıları onarma

Windows Server 2003 CA Sertifika Araçları dosyalarını Windows 2000 tabanlı bilgisayara kopyaladıktan sonra şu adımları izleyin:

1. Komut İstemi'ni başlatın.

2. Aşağıdakileri yazın ve ENTER tuşuna basın:
   cd %systemroot\system32\certsrv\certenroll

3. Certenroll klasöründe aşağıdakine benzer şekilde görünen sertifikayı not edin:
   Your_Server.Your_Domain.com_rootca.crt

4. Aşağıdaki komutları yazın ve her komut sonrasında ENTER tuşuna basın:
   Root_Drive_Letter:\w2k3tool\certutil -addstore my %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt
   Root_Drive_Letter:\w2k3tool\certutil -dump %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt

   Root_Drive_Letter , kök dizinin harfidir.

   Your_Server.Etki_Alanınız.com_rootca.crt, 3. adımda not ettiğiniz Certenroll klasöründeki sertifikanın adıdır.

5. Son komutun çıkışında, sonuna yakın bir satır görürsünüz: Anahtar Kimliği Karması (sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
   Anahtar Kimliği Karması verileri bilgisayarınıza özgüdür. Bu satırı not edin.

6. Tırnak işaretleri de dahil olmak üzere aşağıdaki komutu yazın ve ENTER tuşuna basın:
   Root_Drive_Letter:\w2k3tool\certutil -repairstore my "Key_Id_Hash_Data"
   Bu komutta, Key_Id_Hash_Data 5. adımda not ettiğiniz satırdır. Örneğin, aşağıdakileri yazın:
   c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

   Bu komutu tamamladıktan sonra aşağıdaki çıkışı alırsınız:

   CertUtil: -repairstore komutu başarıyla tamamlandı.

7. Sertifikaları doğrulamak için aşağıdaki komutu yazın ve ENTER tuşuna basın:
   Root_Drive_Letter:\w2k3tool\certutil -verifykeys

   Bu komut çalıştırıldıktan sonra aşağıdaki çıkışı alırsınız:

   CertUtil: -verifykeys komutu başarıyla tamamlandı.

5. Adım: Sertifika Hizmetleri hizmetini başlatma

1. Başlat'ı seçin, Yönetimsel Araçlar'ın üzerine gelin ve hizmetler'i seçin.
2. Sertifika Hizmetleri'ne sağ tıklayın ve ardından Başlat'ı seçin.

Daha fazla bilgi

Aşağıdaki koşullardan biri doğruysa CA'nın yetkisini alıp değiştirmeniz gerekir:

• Eksik sertifikaları bulamazsınız.

• Sertifikalar yeniden yüklenemez.

• Özel certutil -repairstore anahtarlar kaldırıldığından komut tamamlanamadı. Ca'nın yetkisini almak ve ca'yı değiştirmek için şu adımları izleyin:

  1. Ca'nın düzgün çalışmayı durduran sertifikalarını iptal edin. Bunu yapmak için şu adımları uygulayın:

     1. İptal etmek istediğiniz sertifikaları veren bilgisayarda yönetici olarak oturum açın.
     2. Başlat'ı seçin, Programlar'ın üzerine gelin, Yönetim Araçları'nın üzerine gelin ve ardından Sertifika Yetkilisi'ni seçin.
     3. CA_Name genişletin ve Verilen Sertifikalar'ı seçin.
     4. Sağ bölmede iptal etmek istediğiniz sertifikayı seçin.
     5. Eylem menüsünde Tüm Görevler'in üzerine gelin ve Sertifikayı İptal Et'i seçin.
     6. Neden kodu listesinde sertifikayı iptal etme nedenini ve ardından Evet'i seçin.

     Bu, CA tarafından verilen ve düzgün çalışmayı durduran tüm sertifikaları iptal eder.

  2. Sertifika iptal listesini (CRL) bir sonraki en yüksek CA'da yayımlayın. Bunu yapmak için şu adımları uygulayın:

     1. Bir sonraki en yüksek CA'nın çalıştığı bilgisayarda yönetici olarak oturum açın.
     2. Başlat'ı seçin, Programlar'ın üzerine gelin, Yönetim Araçları'nın üzerine gelin ve ardından Sertifika Yetkilisi'ni seçin.
     3. CA_Name genişletin ve ardından İptal Edilen Sertifikalar'ı seçin.
     4. Eylem menüsünde Tüm Görevler'in üzerine gelin ve Yayımla'yı seçin.
     5. Daha önce yayımlanan CRL'nin üzerine yazmak için Evet'i seçin.

  3. Düzgün çalışmayı durduran CA Active Directory dizin hizmetlerinde yayımlanmışsa, kaldırın. CA'yı Active Directory'den kaldırmak için şu adımları izleyin:

     1. Komut İstemi'ni başlatın.
     2. Aşağıdakileri yazın ve ENTER tuşuna basın:
        certutil -dsdel CA_Name

  4. SERTIFIKA Yetkilisinin düzgün çalışmayı durdurduğu sunucudan Sertifika Hizmetleri'ni kaldırın. Bunu yapmak için şu adımları uygulayın:

     1. Başlangıç'ı seçin, Ayarlar'ın üzerine gelin ve Denetim Masası'ı seçin.
     2. Program Ekle/Kaldır'a çift tıklayın ve ardından Windows Bileşenleri Ekle/Kaldır'ı seçin.
     3. Bileşenler listesinde Sertifika Hizmetleri onay kutusunu temizlemek için tıklayın, İleri'yi ve ardından Son'u seçin.

  5. Sertifika Hizmetleri'ni yükleyin. Bunu yapmak için şu adımları uygulayın:

     1. Windows Bileşenleri Ekle/Kaldır'ı seçin.
     2. Bileşenler listesinde Sertifika Hizmetleri onay kutusunu seçmek için İleri'yi ve ardından Son'u seçin.

  6. CA tarafından düzgün çalışmayı durduran tüm kullanıcılar, bilgisayarlar veya sertifikalara sahip hizmetlerin yeni CA'dan sertifikalar için kaydolması gerekir.