Certifikační služba nemusí spustit v počítači se systémem Windows Server 2003 nebo Windows 2000

Příznaky

V počítačích se systémem Microsoft Windows Server 2003 nebo Microsoft Windows 2000 Server nemusí spustit službu Certificate Services.

Navíc může být zaznamenána následující chybová zpráva v protokolu aplikace v prohlížeči událostí:

Příčina

Před spuštěním služby Certificate Services, výčte všechny klíče a certifikáty, které byly vydány certifikační úřad (CÚ) i v případě, že vypršela platnost klíče a certifikáty. Certifikační služba nespustí, pokud jeden z certifikátů byl odebrán z úložiště osobních certifikátů místního počítače.

Řešení

Chcete-li tento problém vyřešit, ověřte, zda je roven počtu certifikátů vystavených Certifikační číslo kryptografické otisky certifikátů v registru. Pokud nejsou nalezeny žádné certifikáty, importujte chybějící certifikáty do úložiště osobních certifikátů místního počítače. Po importu certifikátů chybí příkaz certutil - repairstore opravit vazbu mezi importovaných certifikátů a přidruženého soukromého klíče úložiště.

Chcete-li to provést, použijte jednu z následujících metod v závislosti na verzi operačního systému počítače.

Metoda 1: Systém Windows Server 2003

Chcete-li vyřešit tento problém v počítači se systémem Windows Server 2003, postupujte takto.

Krok 1: Vyhledejte chybějící certifikáty

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Kryptografické otisky certifikátů označení všech certifikátů vystavených tímto certifikačním úřadem. Při každém obnovení certifikátu nový kryptografický otisk certifikátu je přidán do seznamu CaCertHash v registru. Počet položek v tomto seznamu se musí rovnat počtu certifikátů CÚ jsou vydány a které jsou uvedeny v úložišti osobních certifikátů místního počítače.

Chcete-li vyhledat chybějící certifikáty, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč a klikněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. V pravém podokně poklepejte na CaCertHash.
  4. Poznamenejte si číslo kryptografické otisky certifikátů, které obsahuje seznam Údaj .
  5. Spusťte příkazový řádek.
  6. Zadejte následující příkaz a stiskněte klávesu ENTER:
    certutil-store
    Porovnejte počet certifikátů, které jsou uvedeny v úložišti osobních certifikátů místního počítače počet kryptografické otisky certifikátů, které jsou uvedeny v položce registru CaCertHash. Pokud jsou různá čísla, přejít na "krok 2: importujte chybějící certifikáty." Pokud jsou čísla stejná, přejít na "krok 3: instalace systému Windows Server 2003 Administration nástroje Pack."

Krok 2: Importujte chybějící certifikáty

  1. Klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko certifikáty.

    Pokud certifikáty v seznamu nezobrazí, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
    2. V nabídce soubor klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
    3. Klepněte na tlačítko Přidat.
    4. V seznamu modul Snap-in klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat.

      Pokud se zobrazí dialogové okno modulu snap-in Certifikáty , klepněte na tlačítko Můj uživatelský účeta potom klepněte na tlačítko Dokončit.
    5. Klepněte na tlačítko Zavříta potom klepněte na tlačítko OK.

      Adresář certifikáty je nyní přidán do konzoly konzola Microsoft Management Console (MMC).
    6. V nabídce soubor klepněte na příkaz Uložit jako, do pole název souboru zadejte certifikáty a klepněte na tlačítko Uložit.

      Chcete-li otevřít složku Certifikáty v budoucnosti, klepněte na tlačítko Start, přejděte na příkaz Všechny programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko certifikáty.
  2. Rozbalte certifikáty, rozbalte položku osobní, klepněte pravým tlačítkem myši certifikáty, přejděte na příkaz Všechny úkolya klepněte na tlačítko importovat.
  3. Na úvodní stránce klepněte na tlačítko Další.
  4. Na stránce Importovat soubor zadejte úplnou cestu souboru certifikátu, který chcete importovat do název souboru pole a potom klepněte na tlačítko Další. Případně klepněte na tlačítko Procházet, vyhledejte soubor a klepněte na tlačítko Další.
  5. Je-li soubor, který chcete importovat Personal Information Exchange - PKCS #12 (*. Soubor PFX), budete vyzváni k zadání hesla. Zadejte heslo a klepněte na tlačítko Další.
  6. Na stránce Úložiště certifikátů klepněte na tlačítko Další.
  7. Na stránce dokončení Průvodce importem certifikátu klepněte na tlačítko Dokončit.
Poznámka: Certifikační úřad publikuje vždy své certifikáty certifikační Autority do složky %systemroot%\System32\CertSvc\CertEnroll. V této složce můžete najít chybějící certifikáty.

Krok 3: Instalace systému Windows Server 2003 Administration Tools Pack

Po importu certifikátů, musíte pomocí nástroje Certutil opravit vazbu mezi importovaných certifikátů a přidruženého soukromého klíče úložiště. Nástroj Certutil je součástí nástroje certifikát certifikačního úřadu. Nástrojů k certifikátu certifikačního úřadu Windows Server 2003 jsou umístěny v systému Windows Server 2003 Administration Tools Pack. Pokud v počítači nejsou nainstalovány nástroje pro certifikát certifikačního úřadu, nainstalujte je.

Chcete-li stáhnout nástroje pro správu systému Windows Server 2003, naleznete na následujícím webu společnosti Microsoft:

Krok 4: Opravte odkazy

Po instalaci nástroje pro správu systému Windows Server 2003, postupujte takto:
  1. Spusťte příkazový řádek.
  2. Zadejte následující příkaz a stiskněte klávesu ENTER:
    CD %systemroot%\system32\certsrv\certenroll
  3. Poznamenejte si certifikát do složky Certenroll, který vypadá podobně jako následující:
    Your_Server.Your_Domain.com_rootca.crt
  4. Zadejte následující příkazy a po každém příkazu stiskněte klávesu ENTER:
    %systemroot%\system32\certutil - addstore my %systemroot%\system32\certsrv\certenroll\Váš_server. Doména. com_rootca.crt
    %systemroot%\System32\certutil-%systemroot%\system32\certsrv\certenroll\Váš_servervýpis. Doména. com_rootca.crt
    Váš_server. Doména. com_rootca.crt je název certifikátu do složky Certenroll složky, kterou jste si poznamenali v kroku 3.
  5. Výstup z posledního příkazu poblíž konce uvidíte řádek, který je podobný následujícímu:
    Hash(sha1) Id klíče: ea c7 7d 7e e8 cd 84 9b e8 á 71 6 d f4 b7 e5 09 d9 b6 32 1b
    Data Hash Id klíče jsou specifické pro váš počítač. Poznamenejte si tento řádek.
  6. Zadejte následující příkaz včetně uvozovek a poté stiskněte klávesu ENTER:
    %systemroot%\system32\certutil - repairstore Můj "Key_Id_Hash_Data"
    V tomto příkazu je Key_Id_Hash_Data řádek, který jste si poznamenali v kroku 4. Například zadejte následující příkaz:
    %systemroot%\system32\certutil - repairstore Můj "ea c7 7 d 7e e8 cd 84 9b e8 á 71 6 d f4 b7 e5 09 d9 b6 32 1b"
    Poté obdržíte následující výstup:
    Příkaz: CertUtil - repairstore příkaz byl úspěšně dokončen.
  7. Chcete-li ověřit certifikáty, zadejte následující příkaz a stiskněte klávesu ENTER:
    %systemroot%\system32\certutil - verifykeys
    Po spuštění tohoto příkazu obdržíte následující výstup:
    Příkaz: CertUtil - verifykeys příkaz byl úspěšně dokončen.

Krok 5: Spustit službu Certificate Services

  1. Klepněte na tlačítko Start, přejděte na položku Nástroje pro správua potom klepněte na položku služby.
  2. Služba Certificate Servicesklepněte pravým tlačítkem myši a potom klepněte na tlačítko Start.

Metoda 2: Systém Windows 2000

Chcete-li vyřešit tento problém v počítači se systémem Windows 2000, postupujte takto.

Krok 1: Vyhledejte chybějící certifikáty

Důležité: Tento oddíl, metoda nebo úkol obsahuje kroky, které popisují úpravu registru. Při nesprávné úpravě registru mohou nastat závažné problémy Proto se ujistěte, že budete opatrně postupovat podle těchto kroků Pro zvýšení ochrany před úpravou zálohujte registr. Pokud dojde k potížím, pak můžete registr obnovit ze zálohy. Pro další informace o zálohování a obnovení registru klepněte na následující číslo článku databáze Microsoft Knowledge Base:
322756 postup zálohování a obnovení registru v systému Windows


Kryptografické otisky certifikátů označení všech certifikátů vystavených tímto certifikačním úřadem. Při každém obnovení certifikátu nový kryptografický otisk certifikátu je přidán do seznamu CaCertHash v registru. Počet položek v tomto seznamu se musí rovnat počtu certifikátů CÚ jsou vydány a které jsou uvedeny v úložišti osobních certifikátů místního počítače.

Chcete-li vyhledat chybějící certifikáty, postupujte takto:
  1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz regedita klepněte na tlačítko OK.
  2. Vyhledejte následující podklíč a klikněte na něj:
    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\Your_Certificate_Authority_Name
  3. V pravém podokně poklepejte na CaCertHash.
  4. Poznamenejte si číslo kryptografické otisky certifikátů, které obsahuje seznam Údaj .
  5. Spusťte příkazový řádek.
  6. Zadejte následující příkaz a stiskněte klávesu ENTER:
    certutil-store
    Porovnejte počet certifikátů, které jsou uvedeny v úložišti osobních certifikátů místního počítače počet kryptografické otisky certifikátů, které jsou uvedeny v položce registru CaCertHash. Pokud jsou různá čísla, přejít na "krok 2: importujte chybějící certifikáty." Pokud jsou čísla stejná, přejít na "krok 3: instalace systému Windows Server 2003 Administration nástroje Pack."

Krok 2: Importujte chybějící certifikáty

  1. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko certifikáty.

    Pokud certifikáty v seznamu nezobrazí, postupujte takto:
    1. Klepněte na tlačítko Start, klepněte na příkaz Spustit, zadejte příkaz mmca potom klepněte na tlačítko OK.
    2. V nabídce Konzola klepněte na tlačítko Přidat nebo odebrat modul Snap-in.
    3. Klepněte na tlačítko Přidat
    4. V seznamu modul Snap-in klepněte na tlačítko certifikátya potom klepněte na tlačítko Přidat.

      Pokud se zobrazí dialogové okno modulu snap-in Certifikáty , klepněte na tlačítko Můj uživatelský účeta potom klepněte na tlačítko Dokončit.
    5. Klepněte na tlačítko Zavřít.
    6. Klepněte na tlačítko OK
    7. Adresář certifikáty je nyní přidán do konzoly konzola Microsoft Management Console (MMC).
    8. V nabídce Konzola klepněte na příkaz Uložit jako, typ certifikáty jako název souboru a klepněte na tlačítko Uložit.

      Chcete-li otevřít složku Certifikáty v budoucnosti, klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko certifikáty.
  2. Rozbalte certifikáty, rozbalte položku osobní, klepněte pravým tlačítkem myši certifikáty, přejděte na příkaz Všechny úkolya klepněte na tlačítko importovat.
  3. Na úvodní stránce klepněte na tlačítko Další.
  4. Na stránce Importovat soubor zadejte úplnou cestu souboru certifikátu, který chcete importovat do název souboru pole a potom klepněte na tlačítko Další. Případně klepněte na tlačítko Procházet, vyhledejte soubor a klepněte na tlačítko Další.
  5. Je-li soubor, který chcete importovat Personal Information Exchange - PKCS #12 (*. (PFX), budete vyzváni k zadání hesla. Zadejte heslo a klepněte na tlačítko Další.
  6. Na stránce Úložiště certifikátů klepněte na tlačítko Další.
  7. Na stránce dokončení Průvodce importem certifikátu klepněte na tlačítko Dokončit.
Poznámka: Certifikační úřad publikuje vždy své certifikáty certifikační Autority do složky %systemroot%\System32\CertSvc\CertEnroll. V této složce můžete najít chybějící certifikáty.

Krok 3: Instalace nástrojů systému Windows Server 2003 Certutil

Po importu certifikátů, musíte pomocí nástrojů k certifikátu certifikačního úřadu Windows Server 2003 Chcete-li opravit vazbu mezi importovaných certifikátů a přidruženého soukromého klíče úložiště.

Windows Server 2003 verze Certutil.exe a Certreq.exe jsou zahrnuty v systému Windows Server 2003 Administration Tools Pack. Chcete-li nainstalovat nástroje v počítači se systémem Windows 2000, musíte nejprve nainstalovat nástroje pro správu systému Windows Server 2003 v počítači se systémem Windows Server 2003 nebo Microsoft Windows XP s aktualizací Service Pack 1 (SP1) nebo novější aktualizace service pack. Nástroje pro správu systému Windows Server 2003 nelze nainstalovat přímo v počítači se systémem Windows 2000.

Důležité: Po zkopírování nástrojů k certifikátu certifikačního úřadu Windows Server 2003 do počítače se systémem Windows 2000 budou uloženy dvě verze nástroje Certutil na počítači se systémem Windows 2000. Neodstraňujte Nástroj Certutil systému Windows 2000. Jiných programů závisí na verzi systému Windows 2000 tento nástroj. Modul snap-in Certifikáty konzoly MMC vyžaduje nástroj Certutil systému Windows 2000. Navíc nelze zaregistrovat Certadm.dll soubory v počítači se systémem Windows 2000 a Windows Server 2003 Certcli.dll.

Použití nástrojů k certifikátu certifikačního úřadu Windows Server 2003 v počítači se systémem Windows 2000, postupujte takto:
  1. Stáhněte aktualizaci Windows Server 2003 Administration Tools Pack. Chcete-li to provést, více se dozvíte na následujícím webu společnosti Microsoft:
  2. Přihlaste se k počítači se systémem Windows Server 2003 nebo Windows XP s aktualizací SP1 nebo novější aktualizace service pack.
  3. Nainstalujte systém Windows Server 2003 Administration Tools Pack.
  4. V systému Windows Server 2003 Administration Tools Pack vyhledejte následující soubory a potom je zkopírujte na vyměnitelné paměťové médium, například disk 3,5:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll
  5. Přihlaste se k počítači se systémem Windows 2000 jako správce.
  6. Vložte vyměnitelné paměťové médium, který jste použili v kroku 4 do příslušné jednotky počítače se systémem Windows 2000.
  7. Spusťte příkazový řádek.
  8. Vytvořit novou složku a zkopírujte soubory na vyměnitelné paměťové médium do nové složky. Chcete-li to provést, zadejte následující příkazy a po každém příkazu stiskněte klávesu ENTER:
    cd\
    MD W2k3tool
    CD w2k3tool
    Kopírovat Removable_Media_Drive_Letter: \cert*
    Poznámka: Konfliktům s verzemi systému Windows 2000 příkaz Certutil nástroj, který je již v počítači neobsahují W2k3tool složky v systémové cestě hledání.

Krok 4: Opravte odkazy

Po zkopírování souborů aktualizaci certifikační úřad certifikát nástrojů pro systém Windows Server 2003 do počítače se systémem Windows 2000, postupujte takto:
  1. Spusťte příkazový řádek.
  2. Zadejte následující příkaz a stiskněte klávesu ENTER:
    CD %systemroot\system32\certsrv\certenroll
  3. Poznamenejte si certifikát do složky Certenroll, který vypadá podobně jako následující: Váš_server. Doména. com_rootca.crt
  4. Zadejte následující příkazy a po každém příkazu stiskněte klávesu ENTER:
    Root_Drive_Letter: \w2k3tool\certutil - addstore my %systemroot%\system32\certsrv\certenroll\Váš_server. Doména. com_rootca.crt
    Root_Drive_Letter: \w2k3tool\certutil-%systemroot%\system32\certsrv\certenroll\Váš_servervýpis. Doména. com_rootca.crt
    Root_Drive_Letter je označení kořenového adresáře.

    Váš_server. Doména. com_rootca.crt je název certifikátu do složky Certenroll složky, kterou jste si poznamenali v kroku 3.
  5. Výstup z posledního příkazu poblíž konce uvidíte řádek, který je podobný následujícímu:
    Hash(sha1) Id klíče: ea c7 7d 7e e8 cd 84 9b e8 á 71 6 d f4 b7 e5 09 d9 b6 32 1b
    Data Hash Id klíče jsou specifické pro váš počítač. Poznamenejte si tento řádek.
  6. Zadejte následující příkaz včetně uvozovek a pak stiskněte klávesu ENTER:
    Root_Drive_Letter: \w2k3tool\certutil - repairstore Můj "Key_Id_Hash_Data"
    V tomto příkazu je Key_Id_Hash_Data řádek, který jste si poznamenali v kroku 5. Například zadejte následující příkaz:
    c:\w2k3tool\certutil - repairstore Můj "ea c7 7 d 7e e8 cd 84 9b e8 á 71 6 d f4 b7 e5 09 d9 b6 32 1b"
    Po dokončení tohoto příkazu obdržíte následující výstup:
    Příkaz: CertUtil - repairstore příkaz byl úspěšně dokončen.
  7. Chcete-li ověřit certifikáty, zadejte následující příkaz a stiskněte klávesu ENTER:
    Root_Drive_Letter: \w2k3tool\certutil - verifykeys
    Po spuštění tohoto příkazu obdržíte následující výstup:
    Příkaz: CertUtil - verifykeys příkaz byl úspěšně dokončen.

Krok 5: Spustit službu Certificate Services

  1. Klepněte na tlačítko Start, přejděte na položku Nástroje pro správua potom klepněte na položku služby.
  2. Služba Certificate Servicesklepněte pravým tlačítkem myši a potom klepněte na tlačítko Start.

Další informace

Je nutné vyřadit z provozu a nahradit certifikačního úřadu, pokud platí jedna z následujících podmínek:
  • Nelze najít chybějící certifikáty.
  • Certifikáty nelze přeinstalovat.
  • Certutil - repairstore příkaz nelze dokončit, protože soukromé klíče byly odebrány.
Vyřazení z provozu a nahradit certifikačního úřadu, postupujte takto:
  1. Odvolání certifikátů pro certifikační úřad, který přestal pracovat správně. Chcete-li to provést, postupujte takto:
    1. Přihlaste se jako správce k počítači, který vydané certifikáty, které chcete odebrat.
    2. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Certifikační úřad.
    3. Rozbalte název certifikačního úřadua klepněte na položku Vystavené certifikáty.
    4. V pravém podokně klepněte na certifikát, který chcete odvolat.
    5. V nabídce Akce přejděte na příkaz Všechny úkolya potom klepněte na příkaz Odvolat certifikát.
    6. V seznamu Kód důvodu klepněte na tlačítko důvod odvolání certifikátu a klepněte na tlačítko Ano.
    To bude odebrat všechny certifikáty vystavené certifikačním úřadem, který přestal pracovat správně.
  2. Publikování seznamu odvolaných certifikátů (CRL) na další nejvyšší certifikačního úřadu. Chcete-li to provést, postupujte takto:
    1. Přihlaste se jako správce k počítači, ve kterém je spuštěna další nejvyšší certifikačního úřadu.
    2. Klepněte na tlačítko Start, přejděte na příkaz programy, přejděte na položku Nástroje pro správua potom klepněte na tlačítko Certifikační úřad.
    3. Rozbalte název certifikačního úřadua klepněte na tlačítko Odvolané certifikáty.
    4. V nabídce Akce přejděte na příkaz Všechny úkolya klepněte na tlačítko Publikovat.
    5. Klepněte na tlačítko Ano Chcete-li přepsat dříve publikovaného seznamu CRL.
  3. Pokud certifikační úřad, který přestal pracovat správně byl publikován v adresářové službě Active Directory, odeberte jej. Chcete-li odebrat certifikační Autority ze služby Active Directory, postupujte takto:
    1. Spusťte příkazový řádek.
    2. Zadejte následující příkaz a stiskněte klávesu ENTER:
      certutil - dsdel název certifikačního úřadu
  4. Odeberte službu Certificate Services ze serveru, kde CÚ přestal správně. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Start, přejděte na příkaz Nastavenía klepněte na příkaz Ovládací panely.
    2. Poklepejte na panel Přidat nebo odebrat programya potom klepněte na tlačítko Přidat nebo odebrat součásti systému Windows.
    3. V seznamu součásti klepnutím zrušte zaškrtnutí políčka Certifikační služby , klepněte na tlačítko Dalšía potom klepněte na tlačítko Dokončit.
  5. Instalace služby Certificate Services. Chcete-li to provést, postupujte takto:
    1. Klepněte na tlačítko Přidat nebo odebrat součásti systému Windows.
    2. V seznamu součásti klepnutím zaškrtněte políčko Certifikační služby , klepněte na tlačítko Dalšía potom klepněte na tlačítko Dokončit.
  6. Všichni uživatelé, počítače nebo služby s certifikáty vystavené certifikačním úřadem, který přestal pracovat správně musí zapsat certifikáty od certifikačního úřadu, nové.
Poznámka: Pokud k tomuto problému dochází na kořenový certifikační úřad v hierarchii infrastruktury veřejných klíčů (PKI) a pokud problém nelze opravit, je třeba nahradit celou hierarchii infrastruktury veřejných KLÍČŮ. Další informace o tom, jak odebrat hierarchii infrastruktury veřejných KLÍČŮ, klepněte na následující číslo článku databáze Microsoft Knowledge Base:

889250 postup vyřazení certifikačního úřadu rozlehlé sítě systému Windows a všechny související objekty odebrat ze systému Windows Server 2003 a Windows 2000 Server

Vlastnosti

ID článku: 842210 - Poslední kontrola: 16. 1. 2017 - Revize: 1

Váš názor