正在執行 Windows Server 2003 或 Windows 2000 的電腦上可能無法啟動 「 憑證服務

文章翻譯 文章翻譯
文章編號: 842210 - 檢視此文章適用的產品。
全部展開 | 全部摺疊

在此頁中

徵狀

正在執行 Microsoft Windows Server 2003 或 Microsoft Windows 2000 Server 電腦上可能無法啟動憑證服務。

此外,在應用程式記錄檔中記錄在 「 事件檢視器 」 中可能會記錄下列錯誤訊息:

事件類型: 錯誤
事件來源: CertSvc
事件類別: 無
事件識別碼: 42
日期: Date
時間: Time
使用者: N/A
電腦: Computer_Name
描述: 憑證服務並未啟動: 找不建置 ISICA CA 憑證鏈結。找不到物件或屬性。0x80092004 (-2146885628)。請如需詳細資訊參閱 [說明及支援中心在 <http://support.microsoft.com>

發生的原因

憑證服務啟動之前它會列舉所有金鑰和發行給憑證授權單位 (CA) 的憑證即使金鑰和憑證已過期。如果已從本機電腦個人憑證存放區移除任何與這些憑證之一,將不會啟動 「 憑證服務。

解決方案

如果要解決這個問題,請確認在登錄中的憑證 thumbprints 數量等於發給 CA 的憑證數量。如果任何憑證已遺失,匯入遺失的憑證到本機電腦個人憑證存放區。您已經匯入遺失的憑證之後使用 certutil-repairstore 命令修復匯入的憑證和相關聯的私用金鑰存放區之間的連結。

如果要執行此動作使用其中一個下列方法您的電腦執行哪一個版本的作業系統而定。

方法 1: Windows Server 2003

如果要解決這個問題,在 Windows Server 2003 電腦上的,請依照下列步驟執行。

步驟 1: 尋找遺失的憑證

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄


憑證 thumbprints 指出發行給此 CA 的所有憑證。更新一個憑證,則每次新的憑證指紋被新增到登錄中 CaCertHash 清單。此清單中的項目數目必須等於的憑證所發出到 CA,並且本機電腦個人憑證存放區中所列的數目。

如果要尋找遺失憑證,請依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並按一下下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Your_Certificate_Authority_Name
  3. 在右窗格中, 連按兩下 CaCertHash]。
  4. 記下的 [數值資料] 清單中包含的憑證 thumbprints 數目。
  5. 啟動命令提示字元。
  6. 輸入下列命令並按下 ENTER:
    certutil-儲存
    比較詳列於本機電腦個人 」 憑證存放區的憑證 thumbprints CaCertHash 登錄項目中所列的數目的憑證數量。如果數字不同,前往 「 步驟 2: 匯入遺失的憑證"如果數字是相同的請到 「 步驟 3: 安裝在 Windows Server 2003 系統管理工具套件."

步驟 2: 匯入遺失的憑證

  1. 按一下 [開始],指向 [所有程式]、 都指向 [系統管理工具],然後再按一下 [憑證]。

    如果 憑證 沒有出現在清單中,請依照下列步驟執行:
    1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
    2. 按一下 [自動顯示在 [檔案] 功能表上的 [新增/移除嵌入式管理單元]。
    3. 按一下 [新增]。
    4. 嵌入式管理單元] 清單中按一下 [憑證,然後按一下 [新增]。

      如果出現 [憑證] 嵌入式管理單元 對話方塊,按一下 [我的使用者帳戶,],再按 [完成]
    5. 按一下 [關閉],然後再按一下 [確定]

      憑證目錄現在已經加入到 Microsoft 管理主控台 (MMC)。
    6. 在 [檔案] 功能表上按一下 [另存成],並在 [檔案名稱] 方塊中輸入 憑證 然後按一下 [儲存檔案

      若要開啟憑證在未來、 按一下 [開始]、 指向 [所有程式]、 都指向 [系統管理工具],然後按一下 [憑證
  2. 展開 [憑證],展開 [個人]、 以滑鼠右鍵按一下 [憑證]、 指向 [所有工作],然後再按一下 [匯入]。
  3. 在 [歡迎使用] 頁面上,按一下 [下一步]。
  4. 在 [要匯入的檔案] 頁面上鍵入您想要匯入 檔案名稱] 方塊中的憑證檔案的完整路徑,然後按一下 [下一步]。 或者,按一下 [瀏覽、 搜尋該檔案,然後按一下 [下一步]
  5. 如果您想要匯入的檔案是個人的資訊交換-PKCS # 12 (*.PFX) 檔案您將會被提示輸入密碼。輸入密碼],然後按一下 [下一步]。
  6. 在 [憑證存放區] 頁面中,按一下 [下一步]。
  7. 在 [正在完成憑證匯入精靈] 頁面按一下 [完成]。
附註CA 永遠將其 CA 憑證發佈到 %systemroot%\System32\CertSvc\CertEnroll 資料夾。您可能會發現遺失憑證,該資料夾中。

步驟 3: 安裝 Windows Server 2003 系統管理工具套件

憑證匯入之後您必須使用 Certutil 工具來修復匯入的憑證和相關聯的私用金鑰存放區之間的連結。Certutil 工具併入 [CA 憑證] 工具。Windows Server 2003 CA 憑證工具位於 Windows Server 2003 系統管理工具套件。如果您的電腦上未安裝 [CA 憑證工具,現在安裝。

如果要下載 Windows Server 2003 系統管理工具套件,請造訪下列 Microsoft 網站:
http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en

步驟 4: 修復連結

安裝 Windows Server 2003 系統管理工具包之後請依照下列步驟執行:
  1. 啟動命令提示字元。
  2. 請輸入面並按下 ENTER:
    cd %systemroot%\system32\certsrv\certenroll
  3. 請將憑證記下看起來類似下列的 Certenroll 資料夾中:
    Your_ServerYour_Domain com_rootca.crt
  4. 輸入下列命令,然後再按 ENTER 鍵在每一行命令後:
    %systemroot%\system32\certutil-addstore 我 %systemroot%\system32\certsrv\certenroll\ Your_ServerYour_Domain com_rootca.crt
    %systemroot%\System32\certutil-傾印 %systemroot%\system32\certsrv\certenroll\ Your_ServerYour_Domain com_rootca.crt
    Your_ServerYour_Domain com_rootca.crt 是您在步驟 3 中記下 [Certenroll 資料夾中憑證的名稱。
  5. 在最後一個指令的端附近的輸出中,您會看到類似下列的設定行:
    索引鍵識別碼 hash(sha1): Ea c7 7 d 7e e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 9 d9 b6 32 1b
    索引鍵識別碼雜湊資料會因您的電腦。記下這一行。
  6. 輸入下列命令,包括在雙引號,並按下 ENTER:
    %systemroot%\system32\certutil-repairstore 我"Key_Id_Hash_Data"
    在這個命令 Key_Id_Hash_Data 會是您在步驟 4 中記下的那一行。比方說,輸入下列命令:
    %systemroot%\system32\certutil-repairstore 我"ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"
    然後,您會收到下列輸出:
    CertUtil:-repairstore 命令已順利完成。
  7. 確認憑證鍵入下列然後按下 ENTER:
    -verifykeys %systemroot%\system32\certutil
    執行這個命令之後,您會收到下列輸出:
    CertUtil:-verifykeys 命令已順利完成。

步驟 5: 開始 「 憑證服務 」 服務

  1. 按一下 [開始],並指向 [系統管理工具],然後按一下 [服務]。
  2. 憑證服務,] 上按一下滑鼠右鍵,然後按一下 [開始]

方法 2: Windows 2000

如果要解決這個問題,在 Windows 2000 架構的電腦上,請依照下列步驟執行。

步驟 1: 尋找遺失的憑證

重要這個區段、 方法或任務包含告訴您如何修改登錄的步驟。然而,如果您不當修改登錄,可能會發生嚴重的問題。因此,執行這些步驟時請務必小心。為加強保護,修改登錄之前,請務必將它備份起來。以後您就可以在發生問題時還原登錄。如需有關如何備份和還原登錄的詳細資訊,請按一下下面的文件編號,檢視「Microsoft 知識庫」中的文件:
322756如何備份和還原在 Windows 登錄


憑證 thumbprints 指出發行給此 CA 的所有憑證。更新一個憑證,則每次新的憑證指紋被新增到登錄中 CaCertHash 清單。此清單中的項目數目必須等於的憑證所發出到 CA,並且本機電腦個人憑證存放區中所列的數目。

如果要尋找遺失憑證,請依照下列步驟執行:
  1. 按一下 [開始]、 按一下 [執行]、 輸入 regedit,然後按一下 [確定]]。
  2. 找出並按一下下列子機碼:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\ Your_Certificate_Authority_Name
  3. 在右窗格中, 連按兩下 CaCertHash]。
  4. 記下的 [數值資料] 清單中包含的憑證 thumbprints 數目。
  5. 啟動命令提示字元。
  6. 請輸入面並按下 ENTER:
    certutil-儲存
    比較詳列於本機電腦個人 」 憑證存放區的憑證 thumbprints CaCertHash 登錄項目中所列的數目的憑證數量。如果數字不同,前往 「 步驟 2: 匯入遺失的憑證"如果數字是相同的請到 「 步驟 3: 安裝在 Windows Server 2003 系統管理工具套件."

步驟 2: 匯入遺失的憑證

  1. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [憑證]。

    如果憑證沒有出現在清單中,請依照下列步驟執行:
    1. 按一下 [開始],再按一下 [執行]、 輸入 mmc,] 然後再按一下 [確定]
    2. 按一下 [自動顯示在 [主控台] 功能表上的 [新增/移除嵌入式管理單元]。
    3. 按一下 [新增
    4. 嵌入式管理單元] 清單中按一下 [憑證,然後按一下 [新增]。

      如果出現 [憑證] 嵌入式管理單元 對話方塊,按一下 [我的使用者帳戶,],再按 [完成]
    5. 按一下 [關閉]。
    6. 按一下 [確定]
    7. 憑證目錄現在已經加入到 Microsoft 管理主控台 (MMC)。
    8. 在 [主控台] 功能表上按一下 [另存成、 鍵入作為檔案] 名稱的 憑證,然後按一下 [儲存]。

      若要開啟憑證在未來、 按一下 [開始]、 指向 [程式集]、 指向 [系統管理工具],然後按一下 [憑證
  2. 展開 [憑證],展開 [個人]、 以滑鼠右鍵按一下 [憑證]、 指向 [所有工作],然後再按一下 [匯入]。
  3. 在 [歡迎使用] 頁面上,按一下 [下一步]。
  4. 在 [要匯入的檔案] 頁面上鍵入您想要匯入 檔案名稱] 方塊中的憑證檔案的完整路徑,然後按一下 [下一步]。 或者,按一下 [瀏覽、 搜尋該檔案,然後按一下 [下一步]
  5. 如果您想要匯入的檔案是個人的資訊交換-PKCS # 12 (*.PFX) 您將會被提示輸入密碼。輸入密碼],然後按一下 [下一步]。
  6. 在 [憑證存放區] 頁面中,按一下 [下一步]。
  7. 在 [正在完成憑證匯入精靈] 頁面按一下 [完成]。
附註CA 永遠將其 CA 憑證發佈到 %systemroot%\System32\CertSvc\CertEnroll 資料夾。您可能會發現遺失憑證,該資料夾中。

步驟 3: 安裝 Windows Server 2003 Certutil 工具

憑證匯入之後您必須使用 Windows Server 2003 CA 憑證工具來修復匯入的憑證和相關聯的私用金鑰存放區之間的連結。

Certutil.exe 和 Certreq.exe [Windows Server 2003 版本都包含在 Windows Server 2003 系統管理工具套件。在 Windows 2000 架構的電腦上安裝工具,您必須先在正在執行 Windows Server 2003 或 Microsoft Windows XP 與 Service Pack 1 (SP1) 或更新版本的 Service Pack 的電腦上安裝 Windows Server 2003 系統管理工具套件。 無法直接在 Windows 2000 架構的電腦上安裝 Windows Server 2003 系統管理工具套件。

重要 您將 Windows Server 2003 CA 憑證工具複製到 Windows 2000 電腦之後,Certutil 工具的兩個版本會存放在 Windows 2000 為基礎的電腦上。請勿移除 Windows 2000 Certutil 工具。其他程式,取決於這項工具的 Windows 2000 版本。比方說憑證] MMC 嵌入式管理單元在需要 Windows 2000 Certutil 工具。此外,不註冊之 Windows Server 2003 Certcli.dll 和在 Windows 2000 架構的電腦上的 Certadm.dll 檔案。

如果要在 Windows 2000 電腦上使用 Windows Server 2003 CA 憑證工具,請依照下列步驟執行:
  1. 下載 Windows Server 2003 系統管理工具套件。如果要執行此動作請造訪下列的 [Microsoft] 網站:
    http://www.microsoft.com/downloads/details.aspx?FamilyID=c16ae515-c8f4-47ef-a1e4-a8dcbacff8e3&DisplayLang=en
  2. 登入正在執行 Windows Server 2003 或 Windows XP SP1 或更新版本的 Service Pack 的電腦。
  3. 安裝 Windows Server 2003 系統管理工具包。
  4. 在 「 Windows Server 2003 系統管理工具包,找出下列檔案,然後將其複製到如 3.5 英吋磁碟的卸除式存放裝置媒體]:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. 以系統管理員身分登入 Windows 2000 電腦。
  6. 在步驟 4 到 Windows 2000 電腦的適當機中插入您所使用的卸除式存放裝置媒體。
  7. 啟動命令提示字元。
  8. 建立新資料夾,然後再將卸除式儲存媒體上的檔案複製到新的資料夾。如果要執行這這項,輸入下列命令,並在每一行命令後按下 ENTER:
    cd\
    md W2k3tool
    cd w2k3tool
    複製 Removable_Media_Drive_Letter: \cert*
    附註 若要避免與 Windows 2000 版本已經在電腦 [Certutil 工具衝突,請不要在系統搜尋路徑中包含 W2k3tool 資料夾。

步驟 4: 修復連結

您已將 Windows Server 2003 CA 憑證工具檔案複製到 Windows 2000 電腦之後請依照下列步驟執行:
  1. 啟動命令提示字元。
  2. 請輸入面並按下 ENTER:
    cd %systemroot\system32\certsrv\certenroll
  3. 記在 Certenroll 資料夾看起來類似下列的憑證: Your_ServerYour_Domain com_rootca.crt
  4. 輸入下列命令,然後再按 ENTER 鍵在每一行命令後:
    Root_Drive_Letter: \ w2k3tool \certutil-addstore 我 %systemroot%\system32\certsrv\certenroll\ Your_ServerYour_Domain com_rootca.crt
    Root_Drive_Letter: \ w2k3tool \certutil-傾印 %systemroot%\system32\certsrv\certenroll\ Your_ServerYour_Domain com_rootca.crt
    Root_Drive_Letter是根目錄的代號。

    Your_ServerYour_Domain com_rootca.crt 是您在步驟 3 中記下 [Certenroll 資料夾中憑證的名稱。
  5. 在最後一個指令的端附近的輸出中,您會看到類似下列的設定行:
    索引鍵識別碼 hash(sha1): Ea c7 7 d 7e e8 cd 84 9b e8 aa 71 6 d f4 b7 e5 9 d9 b6 32 1b
    索引鍵識別碼雜湊資料會因您的電腦。記下這一行。
  6. 輸入下列命令包括在雙引號,並按下 ENTER:
    Root_Drive_Letter: \ w2k3tool \certutil-repairstore 我"Key_Id_Hash_Data"
    在這個命令 Key_Id_Hash_Data 會是您在步驟 5 中所記下的那一行。比方說,輸入下列命令:
    c:\w2k3tool\certutil-repairstore 我"ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"
    當您完成這項指令後,您將會收到下列輸出:
    CertUtil:-repairstore 命令已順利完成。
  7. 若要確認憑證,輸入下列命令並按下 ENTER:
    Root_Drive_Letter: \ w2k3tool \certutil-verifykeys
    執行這個命令之後,您會收到下列輸出:
    CertUtil:-verifykeys 命令已順利完成。

步驟 5: 開始 「 憑證服務 」 服務

  1. 按一下 [開始],並指向 [系統管理工具],然後按一下 [服務]。
  2. 憑證服務,] 上按一下滑鼠右鍵,然後按一下 [開始]

其他相關資訊

您必須解除委任並取代 CA,如果其中一種下列條件:
  • 找不到遺失的憑證。
  • 無法重新安裝憑證。
  • certutil-repairstore 命令無法完成,因為私人識別碼已經被移除。
若要解除委任並取代在 CA 請依照下列步驟執行:
  1. 已停止運作正常的 CA 撤銷憑證。 要這麼做,請您執行下列步驟:
    1. 已發行的憑證,您想要撤銷的電腦系統管理員身分登入。
    2. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [憑證授權單位]。
    3. 展開 [CA_Name,] 然後按一下 [已發行的憑證
    4. 在右邊的窗格中按一下 [您要撤銷的憑證]。
    5. 在 [執行] 功能表上指向 [所有工作],然後按一下 [撤銷憑證]。
    6. 原因碼] 清單中按一下 [撤銷該憑證的原因,然後按一下 [[是]
    這將會撤銷,已經停止運作正常的 CA 所發行的所有憑證。
  2. 發佈憑證撤銷清單 (CRL) 下一個最高的 CA 上。要這麼做,請您執行下列步驟:
    1. 執行下一個最高的 CA 的電腦系統管理員身分登入。
    2. 按一下 [開始],指向 [程式集]、 指向 [系統管理工具],然後再按一下 [憑證授權單位]。
    3. 展開 [CA_Name,] 然後按一下 [撤銷憑證
    4. 在 [執行] 功能表上指向 [所有工作],然後按一下 [發佈]。
    5. 按一下 [是] 覆寫先前發行的 CRL]。
  3. 如果已停止運作正常的 CA 已發行至 Active Directory 目錄服務,將它移除。若要從 Active Directory 中移除 [CA,請依照下列步驟執行:
    1. 啟動命令提示字元。
    2. 請輸入面並按下 ENTER:
      certutil-dsdel CA_Name
  4. 從 CA 已經停止運作正常的伺服器中移除憑證服務。要這麼做,請您執行下列步驟:
    1. 按一下 [開始],指向 [設定],然後再按一下 [控制台]
    2. 連按兩下 [新增/移除程式,] 然後按一下 [新增/移除 Windows 元件
    3. 在 [元件] 清單按一下以清除 [憑證服務] 核取方塊,按一下 [下一步],然後再按一下 [完成]
  5. 安裝 「 憑證服務。要這麼做,請您執行下列步驟:
    1. 按一下 [新增/移除 Windows 元件]。
    2. 在 [元件] 清單按一下以選取 [憑證服務] 核取方塊,按一下 [下一步],然後再按一下 [完成]
  6. 所有使用者、 在電腦或服務已經停止運作正常的 CA 所發出的憑證與必須註冊新的 CA 的憑證。
附註如果根 CA 的公開金鑰基礎結構 (PKI) 階層上就會發生這個問題,而且無法修復問題,您必須取代整個 PKI 階層架構。如需有關如何移除 PKI 階層架構的詳細資訊,按一下 [下列面的文件編號,檢視 「 Microsoft 知識庫 」 中的發行項]:
889250如何解除委任 Windows 企業憑證授權單位,以及如何從 Windows Server 2003 及 Windows 2000 Server 中移除所有相關的物件

屬性

文章編號: 842210 - 上次校閱: 2006年10月30日 - 版次: 3.3
這篇文章中的資訊適用於:
  • Microsoft Windows Server 2003, Enterprise Edition (32-bit x86)
  • Microsoft Windows Server 2003, Standard Edition (32-bit x86)
  • Microsoft Windows 2000 Advanced Server
  • Microsoft Windows 2000 Server
關鍵字:?
kbmt kbwinservds kbactivedirectory kbtshoot kbprb KB842210 KbMtzh
機器翻譯
重要:本文是以 Microsoft 機器翻譯軟體翻譯而成,而非使用人工翻譯而成。Microsoft 同時提供使用者人工翻譯及機器翻譯兩個版本的文章,讓使用者可以依其使用語言使用知識庫中的所有文章。但是,機器翻譯的文章可能不盡完美。這些文章中也可能出現拼字、語意或文法上的錯誤,就像外國人在使用本國語言時可能發生的錯誤。Microsoft 不為內容的翻譯錯誤或客戶對該內容的使用所產生的任何錯誤或損害負責。Microsoft也同時將不斷地就機器翻譯軟體進行更新。
按一下這裡查看此文章的英文版本:842210
Microsoft及(或)其供應商不就任何在本伺服器上發表的文字資料及其相關圖表資訊的恰當性作任何承諾。所有文字資料及其相關圖表均以「現狀」供應,不負任何擔保責任。Microsoft及(或)其供應商謹此聲明,不負任何對與此資訊有關之擔保責任,包括關於適售性、適用於某一特定用途、權利或不侵權的明示或默示擔保責任。Microsoft及(或)其供應商無論如何不對因或與使用本伺服器上資訊或與資訊的實行有關而引起的契約、過失或其他侵權行為之訴訟中的特別的、間接的、衍生性的損害或任何因使用而喪失所導致的之損害、資料或利潤負任何責任。

提供意見

 

Contact us for more help

Contact us for more help
Connect with Answer Desk for expert help.
Get more support from smallbusiness.support.microsoft.com