Zertifikatdienste können auf einem Computer unter Windows Server 2003 oder Windows 2000 nicht gestartet werden

  • Artikel

Dieser Artikel bietet eine Lösung für ein Problem, bei dem Zertifikatdienste (Certificate Services, CS) möglicherweise nicht auf einem Computer gestartet werden, auf dem Windows Server 2003 oder Windows 2000 ausgeführt wird.

Gilt für: Windows 10 (alle Editionen), Windows Server 2012 R2
Ursprüngliche KB-Nummer: 842210

Symptome

Auf einem Computer, auf dem Microsoft Windows Server 2003 oder Microsoft Windows 2000 Server ausgeführt wird, werden die Zertifikatdienste möglicherweise nicht gestartet.

Darüber hinaus kann die folgende Fehlermeldung im Anwendungsprotokoll in Ereignisanzeige protokolliert werden.

Ursache

Vor dem Start der Zertifikatdienste werden alle Schlüssel und Zertifikate aufgelistet, die an die Zertifizierungsstelle (CA) ausgestellt wurden, auch wenn die Schlüssel und Zertifikate abgelaufen sind. Zertifikatdienste werden nicht gestartet, wenn eines dieser Zertifikate aus dem persönlichen Zertifikatspeicher des lokalen Computers entfernt wurde.

Lösung

Um dieses Problem zu beheben, überprüfen Sie, ob die Anzahl der Zertifikatfingerabdrücke in der Registrierung der Anzahl der Zertifikate entspricht, die an die Zertifizierungsstelle ausgestellt wurden. Wenn Zertifikate fehlen, importieren Sie die fehlenden Zertifikate in den persönlichen Zertifikatspeicher des lokalen Computers. Nachdem Sie die fehlenden Zertifikate importiert haben, verwenden Sie den certutil -repairstore Befehl, um die Verknüpfung zwischen den importierten Zertifikaten und dem zugehörigen privaten Schlüsselspeicher zu reparieren.

Verwenden Sie dazu eine der folgenden Methoden, je nachdem, welche Version des Betriebssystems auf Ihrem Computer ausgeführt wird.

Methode 1: Windows Server 2003

Führen Sie die folgenden Schritte aus, um dieses Problem auf einem Windows Server 2003-basierten Computer zu beheben.

Schritt 1: Suchen nach fehlenden Zertifikaten

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Die Zertifikatfingerabdrücke geben alle Zertifikate an, die für diese Zertifizierungsstelle ausgestellt wurden. Jedes Mal, wenn ein Zertifikat erneuert wird, wird der CaCertHash-Liste in der Registrierung ein neuer Zertifikatfingerabdruck hinzugefügt. Die Anzahl der Einträge in dieser Liste muss der Anzahl von Zertifikaten entsprechen, die für die Zertifizierungsstelle ausgestellt und im persönlichen Zertifikatspeicher des lokalen Computers aufgeführt sind.

Führen Sie die folgenden Schritte aus, um nach fehlenden Zertifikaten zu suchen:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie regedit ein, und wählen Sie dann OK aus.

  2. Suchen Sie den folgenden Unterschlüssel, und wählen Sie ihn aus: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. Doppelklicken Sie im rechten Bereich auf CaCertHash.

  4. Notieren Sie sich die Anzahl der Zertifikatfingerabdrücke, die in der Liste Wertdaten enthalten sind.

  5. Starten Sie die Eingabeaufforderung.

  6. Geben Sie den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE: certutil -store

    Vergleichen Sie die Anzahl der Zertifikate, die im persönlichen Zertifikatspeicher des lokalen Computers aufgeführt sind, mit der Anzahl der Zertifikatfingerabdrücke, die im Registrierungseintrag CaCertHash aufgeführt sind. Wenn die Zahlen unterschiedlich sind, fahren Sie mit Schritt 2: Importieren der fehlenden Zertifikate fort. Wenn die Zahlen identisch sind, fahren Sie mit Schritt 3: Installieren des Windows Server 2003-Verwaltungstoolspakets fort.

Schritt 2: Importieren der fehlenden Zertifikate

  1. Wählen Sie Start aus, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifikate aus.

    Wenn Zertifikate nicht in der Liste angezeigt werden, führen Sie die folgenden Schritte aus:

    1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie mmc ein, und wählen Sie dann OK aus.

    2. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.

    3. Wählen Sie Hinzufügen.

    4. Wählen Sie in der Snap-In-ListeZertifikate und dann Hinzufügen aus.

      Wenn das Dialogfeld Zertifikate-Snap-In angezeigt wird, wählen Sie Mein Benutzerkonto und dann Fertig stellen aus.

    5. Klicken Sie auf Schließen und anschließend auf OK.

      Das Zertifikatverzeichnis wird jetzt der Microsoft Management Console (MMC) hinzugefügt.

    6. Wählen Sie im Menü Datei die Option Speichern unter aus, geben Sie Zertifikate in das Feld Dateiname ein, und wählen Sie dann Speichern aus.

      Um Zertifikate in Zukunft zu öffnen, wählen Sie Start aus, zeigen Sie auf Alle Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifikate aus.

  2. Erweitern Sie Zertifikate, erweitern Sie Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und wählen Sie dann Importieren aus.

  3. Klicken Sie auf der Seite Willkommen auf Weiter.

  4. Geben Sie auf der Seite Zu importierende Datei den vollständigen Pfad der Zu importierenden Zertifikatdatei in das Feld Dateiname ein, und wählen Sie dann Weiter aus. Wählen Sie stattdessen Durchsuchen aus, suchen Sie nach der Datei, und wählen Sie dann Weiter aus.

  5. Wenn es sich bei der Datei, die Sie importieren möchten, um einen persönlichen Informationsaustausch handelt – PKCS #12 (*. PFX)-Datei: Sie werden zur Eingabe des Kennworts aufgefordert. Geben Sie das Kennwort ein, und wählen Sie dann Weiter aus.

  6. Wählen Sie auf der Seite Zertifikatspeicherdie Option Weiter aus.

  7. Wählen Sie auf der Seite Zertifikatimport-Assistent abschließendie Option Fertig stellen aus.

Hinweis

Die Zertifizierungsstelle veröffentlicht ihre Zertifizierungsstellenzertifikate immer im %systemroot%\System32\CertSvc\CertEnroll Ordner. Möglicherweise finden Sie die fehlenden Zertifikate in diesem Ordner.

Schritt 3: Installieren des Windows Server 2003-Verwaltungstoolspakets

Nachdem Sie die Zertifikate importiert haben, müssen Sie das Certutil-Tool verwenden, um die Verknüpfung zwischen den importierten Zertifikaten und dem zugeordneten privaten Schlüsselspeicher zu reparieren. Das Certutil-Tool ist in den Zertifizierungsstellenzertifikattools enthalten. Die Zertifizierungsstellenzertifikattools für Windows Server 2003 befinden sich im Windows Server 2003-Verwaltungstoolspaket. Wenn die Zertifizierungsstellenzertifikattools nicht auf Ihrem Computer installiert sind, installieren Sie sie jetzt.

Führen Sie nach der Installation des Windows Server 2003-Verwaltungstoolspakets die folgenden Schritte aus:

  1. Starten Sie die Eingabeaufforderung.

  2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE:
    cd %systemroot%\system32\certsrv\certenroll

  3. Notieren Sie sich das Zertifikat im Ordner Certenroll, das in etwa wie folgt aussieht: Your_Server. Your_Domain.com_rootca.crt

  4. Geben Sie die folgenden Befehle ein, und drücken Sie dann nach jedem Befehl die EINGABETASTE : %systemroot%\system32\certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt%systemroot%\System32\certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crtYour_Server.Your_Domain.com_rootca.crt ist der Name des Zertifikats im Ordner Certenroll, den Sie sich in Schritt 3 notiert haben.

  5. In der Ausgabe des letzten Befehls wird in der Nähe des Endes eine Zeile angezeigt, die der folgenden ähnelt:
    Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    Die Schlüssel-ID-Hashdaten sind für Ihren Computer spezifisch. Notieren Sie sich diese Zeile.

  6. Geben Sie den folgenden Befehl einschließlich der Anführungszeichen ein, und drücken Sie dann die EINGABETASTE:
    %systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data"

    In diesem Befehl ist die Zeile, Key_Id_Hash_Data die Sie in Schritt 4 notiert haben. Geben Sie beispielsweise Folgendes ein:
    %systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

    Anschließend erhalten Sie die folgende Ausgabe:

    CertUtil: Der Befehl -repairstore wurde erfolgreich abgeschlossen.

  7. Um die Zertifikate zu überprüfen, geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE:
    %systemroot%\system32\certutil -verifykeys Nachdem dieser Befehl ausgeführt wurde, erhalten Sie die folgende Ausgabe:

    CertUtil: Der Befehl -verifykeys wurde erfolgreich abgeschlossen.

Schritt 5: Starten des Zertifikatdienstediensts

  1. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Dienste aus.
  2. Klicken Sie mit der rechten Maustaste auf Zertifikatdienste, und wählen Sie dann Start aus.

Methode 2: Windows 2000

Führen Sie die folgenden Schritte aus, um dieses Problem auf einem Windows 2000-basierten Computer zu beheben.

Schritt 1: Suchen nach fehlenden Zertifikaten

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Für zusätzlichen Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Sie können die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Die Zertifikatfingerabdrücke geben alle Zertifikate an, die für diese Zertifizierungsstelle ausgestellt wurden. Jedes Mal, wenn ein Zertifikat erneuert wird, wird der CaCertHash-Liste in der Registrierung ein neuer Zertifikatfingerabdruck hinzugefügt. Die Anzahl der Einträge in dieser Liste muss der Anzahl von Zertifikaten entsprechen, die für die Zertifizierungsstelle ausgestellt und im persönlichen Zertifikatspeicher des lokalen Computers aufgeführt sind.

Führen Sie die folgenden Schritte aus, um nach fehlenden Zertifikaten zu suchen:

  1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie regedit ein, und wählen Sie dann OK aus.

  2. Suchen Sie den folgenden Unterschlüssel, und wählen Sie ihn aus: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. Doppelklicken Sie im rechten Bereich auf CaCertHash.

  4. Notieren Sie sich die Anzahl der Zertifikatfingerabdrücke, die in der Liste Wertdaten enthalten sind.

  5. Starten Sie die Eingabeaufforderung.

  6. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE: certutil -store

Vergleichen Sie die Anzahl der Zertifikate, die im persönlichen Zertifikatspeicher des lokalen Computers aufgeführt sind, mit der Anzahl der Zertifikatfingerabdrücke, die im Registrierungseintrag CaCertHash aufgeführt sind. Wenn die Zahlen unterschiedlich sind, fahren Sie mit Schritt 2: Importieren der fehlenden Zertifikate fort. Wenn die Zahlen identisch sind, fahren Sie mit Schritt 3: Installieren des Windows Server 2003-Verwaltungstoolspakets fort.

Schritt 2: Importieren der fehlenden Zertifikate

  1. Wählen Sie Start aus, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifikate aus.

    Wenn Zertifikate nicht in der Liste angezeigt werden, führen Sie die folgenden Schritte aus:

    1. Wählen Sie Start aus, wählen Sie Ausführen aus, geben Sie mmc ein, und wählen Sie dann OK aus.
    2. Wählen Sie im Menü Konsole die Option Snap-In hinzufügen/entfernen aus.
    3. Wählen Sie Hinzufügen aus.
    4. Wählen Sie in der Snap-In-ListeZertifikate und dann Hinzufügen aus.

    Wenn das Dialogfeld Zertifikate-Snap-In angezeigt wird, wählen Sie Mein Benutzerkonto und dann Fertig stellen aus. 5. Wählen Sie Schließen aus. 6. Wählen Sie OK aus. 7. Das Zertifikatverzeichnis wird jetzt der Microsoft Management Console (MMC) hinzugefügt. 8. Wählen Sie im Menü Konsole die Option Speichern unter aus, geben Sie Zertifikate als Dateinamen ein, und wählen Sie dann Speichern aus.

    Um Zertifikate in Zukunft zu öffnen, wählen Sie Start aus, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifikate aus.

  2. Erweitern Sie Zertifikate, erweitern Sie Persönlich, klicken Sie mit der rechten Maustaste auf Zertifikate, zeigen Sie auf Alle Aufgaben, und wählen Sie dann Importieren aus.

  3. Klicken Sie auf der Seite Willkommen auf Weiter.

  4. Geben Sie auf der Seite Zu importierende Datei den vollständigen Pfad der Zu importierenden Zertifikatdatei in das Feld Dateiname ein, und wählen Sie dann Weiter aus. Wählen Sie stattdessen Durchsuchen aus, suchen Sie nach der Datei, und wählen Sie dann Weiter aus.

  5. Wenn es sich bei der Datei, die Sie importieren möchten, um einen persönlichen Informationsaustausch handelt – PKCS #12 (*. PFX) werden Sie zur Eingabe des Kennworts aufgefordert. Geben Sie das Kennwort ein, und wählen Sie dann Weiter aus.

  6. Wählen Sie auf der Seite Zertifikatspeicherdie Option Weiter aus.

  7. Wählen Sie auf der Seite Zertifikatimport-Assistent abschließendie Option Fertig stellen aus.

Hinweis

Die Zertifizierungsstelle veröffentlicht ihre Zertifizierungsstellenzertifikate immer im %systemroot%\System32\CertSvc\CertEnroll Ordner. Möglicherweise finden Sie die fehlenden Zertifikate in diesem Ordner.

Schritt 3: Installieren der Certutil-Tools für Windows Server 2003

Nachdem Sie die Zertifikate importiert haben, müssen Sie die Windows Server 2003-Zertifizierungsstellenzertifikattools verwenden, um die Verknüpfung zwischen den importierten Zertifikaten und dem zugehörigen privaten Schlüsselspeicher zu reparieren.

Die Windows Server 2003-Versionen von Certutil.exe und Certreq.exe sind im Windows Server 2003 Administration Tools Pack enthalten. Um die Tools auf einem Windows 2000-basierten Computer zu installieren, müssen Sie zuerst das Windows Server 2003 Administration Tools Pack auf einem Computer installieren, auf dem Windows Server 2003 oder Microsoft Windows XP mit Service Pack 1 (SP1) oder mit einem späteren Service Pack ausgeführt wird. Das Windows Server 2003-Verwaltungstoolspaket kann nicht direkt auf einem Windows 2000-basierten Computer installiert werden.

Wichtig

Nachdem Sie die Zertifizierungsstellenzertifikattools für Windows Server 2003 auf den Windows 2000-basierten Computer kopiert haben, befinden sich zwei Versionen des Certutil-Tools auf dem Windows 2000-basierten Computer. Entfernen Sie das Windows 2000 Certutil-Tool nicht. Andere Programme hängen von der Windows 2000-Version dieses Tools ab. Für das MMC-Snap-In Zertifikate ist beispielsweise das Windows 2000-Tool Certutil erforderlich. Registrieren Sie außerdem nicht die Windows Server 2003-Certcli.dll und Certadm.dll Dateien auf dem Windows 2000-basierten Computer.

Führen Sie die folgenden Schritte aus, um die Zertifizierungsstellenzertifikattools von Windows Server 2003 auf einem Windows 2000-basierten Computer zu verwenden:

  1. Herunterladen des Windows Server 2003-Verwaltungstoolspakets

  2. Melden Sie sich bei einem Computer an, auf dem Windows Server 2003 oder Windows XP mit SP1 oder einem späteren Service Pack ausgeführt wird.

  3. Installieren Sie das Windows Server 2003-Verwaltungstoolspaket.

  4. Suchen Sie im Windows Server 2003-Verwaltungstoolspaket nach den folgenden Dateien, und kopieren Sie sie dann auf ein Wechselmedium, z. B. auf einen 3,5-Zoll-Datenträger:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll

  5. Melden Sie sich beim Windows 2000-basierten Computer als Administrator an.

  6. Legen Sie das Wechselmedium, das Sie in Schritt 4 verwendet haben, in das entsprechende Laufwerk des Windows 2000-basierten Computers ein.

  7. Starten Sie die Eingabeaufforderung.

  8. Erstellen Sie einen neuen Ordner, und kopieren Sie dann die Dateien auf dem Wechselmedium in den neuen Ordner. Geben Sie dazu die folgenden Befehle ein, und drücken Sie dann nach jedem Befehl die EINGABETASTE :
    Cd\
    md W2k3tool
    cd w2k3tool
    copy Removable_Media_Drive_Letter:\cert*

    Hinweis

    Um Konflikte mit den Windows 2000-Versionen des Certutil-Tools zu vermeiden, die sich bereits auf dem Computer befinden, schließen Sie den Ordner W2k3tool nicht in Ihren Systemsuchpfad ein.

Nachdem Sie die Dateien der Windows Server 2003-Zertifizierungsstellenzertifikattools auf den Windows 2000-basierten Computer kopiert haben, führen Sie die folgenden Schritte aus:

  1. Starten Sie die Eingabeaufforderung.

  2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE:
    cd %systemroot\system32\certsrv\certenroll

  3. Notieren Sie sich das Zertifikat im Ordner Certenroll, das in etwa wie folgt aussieht:
    Your_Server.Your_Domain.com_rootca.crt

  4. Geben Sie die folgenden Befehle ein, und drücken Sie dann nach jedem Befehl die EINGABETASTE :
    Root_Drive_Letter:\w2k3tool\certutil -addstore my %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt
    Root_Drive_Letter:\w2k3tool\certutil -dump %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt

    Root_Drive_Letter ist der Buchstabe des Stammverzeichnisses.

    Your_Server.Your_Domain.com_rootca.crt ist der Name des Zertifikats im Ordner Certenroll, den Sie sich in Schritt 3 notiert haben.

  5. In der Ausgabe des letzten Befehls wird in der Nähe des Endes eine Zeile angezeigt, die der folgenden ähnelt: Key ID Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    Die Schlüssel-ID-Hashdaten sind für Ihren Computer spezifisch. Notieren Sie sich diese Zeile.

  6. Geben Sie den folgenden Befehl ein, einschließlich der Anführungszeichen, und drücken Sie dann die EINGABETASTE:
    Root_Drive_Letter:\w2k3tool\certutil -repairstore my "Key_Id_Hash_Data"
    In diesem Befehl ist die Zeile, Key_Id_Hash_Data die Sie in Schritt 5 notiert haben. Geben Sie beispielsweise Folgendes ein:
    c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

    Nachdem Sie diesen Befehl abgeschlossen haben, erhalten Sie die folgende Ausgabe:

    CertUtil: Der Befehl -repairstore wurde erfolgreich abgeschlossen.

  7. Geben Sie zum Überprüfen der Zertifikate den folgenden Befehl ein, und drücken Sie dann die EINGABETASTE:
    Root_Drive_Letter:\w2k3tool\certutil -verifykeys

    Nachdem dieser Befehl ausgeführt wurde, erhalten Sie die folgende Ausgabe:

    CertUtil: Der Befehl -verifykeys wurde erfolgreich abgeschlossen.

Schritt 5: Starten des Zertifikatdienstediensts

  1. Wählen Sie Start aus, zeigen Sie auf Verwaltung, und wählen Sie dann Dienste aus.
  2. Klicken Sie mit der rechten Maustaste auf Zertifikatdienste, und wählen Sie dann Start aus.

Weitere Informationen

Sie müssen die Zertifizierungsstelle außer Betrieb setzen und ersetzen, wenn eine der folgenden Bedingungen zutrifft:

  • Sie können die fehlenden Zertifikate nicht finden.

  • Die Zertifikate können nicht neu installiert werden.

  • Der certutil -repairstore Befehl kann nicht ausgeführt werden, da die privaten Schlüssel entfernt wurden. Führen Sie die folgenden Schritte aus, um die Zertifizierungsstelle außer Betrieb zu setzen und zu ersetzen:

    1. Widerrufen Sie die Zertifikate für die Zertifizierungsstelle, die nicht mehr ordnungsgemäß funktioniert. Gehen Sie dazu wie folgt vor:

      1. Melden Sie sich als Administrator bei dem Computer an, der die Zertifikate ausgestellt hat, die Sie widerrufen möchten.
      2. Wählen Sie Start aus, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifizierungsstelle aus.
      3. Erweitern Sie CA_Name, und wählen Sie dann Ausgestellte Zertifikate aus.
      4. Wählen Sie im rechten Bereich das Zertifikat aus, das Sie widerrufen möchten.
      5. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und wählen Sie dann Zertifikat widerrufen aus.
      6. Wählen Sie in der Liste Grundcode den Grund für den Widerruf des Zertifikats und dann Ja aus.

      Dadurch werden alle Zertifikate widerrufen, die von der Zertifizierungsstelle ausgestellt wurden, die nicht mehr ordnungsgemäß funktioniert.

    2. Veröffentlichen Sie die Zertifikatsperrliste (Certificate Revocation List, CRL) auf der nächsthöheren Zertifizierungsstelle. Gehen Sie dazu wie folgt vor:

      1. Melden Sie sich als Administrator bei dem Computer an, auf dem die nächsthöheren Zertifizierungsstelle ausgeführt wird.
      2. Wählen Sie Start aus, zeigen Sie auf Programme, zeigen Sie auf Verwaltung, und wählen Sie dann Zertifizierungsstelle aus.
      3. Erweitern Sie CA_Name, und wählen Sie dann Widerrufene Zertifikate aus.
      4. Zeigen Sie im Menü Aktion auf Alle Aufgaben, und wählen Sie dann Veröffentlichen aus.
      5. Wählen Sie Ja aus, um die zuvor veröffentlichte Zertifikatsperrliste zu überschreiben.

    3. Wenn die Zertifizierungsstelle, die nicht mehr ordnungsgemäß funktioniert, in Active Directory-Verzeichnisdiensten veröffentlicht wurde, entfernen Sie sie. Führen Sie die folgenden Schritte aus, um die Zertifizierungsstelle aus Active Directory zu entfernen:

      1. Starten Sie die Eingabeaufforderung.
      2. Geben Sie Folgendes ein, und drücken Sie dann die EINGABETASTE:
        certutil -dsdel CA_Name

    4. Entfernen Sie Zertifikatdienste von dem Server, auf dem die Zertifizierungsstelle nicht mehr ordnungsgemäß funktioniert. Gehen Sie dazu wie folgt vor:

      1. Wählen Sie Start aus, zeigen Sie auf Einstellungen, und wählen Sie dann Systemsteuerung aus.
      2. Doppelklicken Sie auf Software, und wählen Sie dann Windows-Komponenten hinzufügen/entfernen aus.
      3. Deaktivieren Sie in der Liste Komponenten das Kontrollkästchen Zertifikatdienste , wählen Sie Weiter und dann Fertig stellen aus.

    5. Installieren Sie Die Zertifikatdienste. Gehen Sie dazu wie folgt vor:

      1. Wählen Sie Windows-Komponenten hinzufügen/entfernen aus.
      2. Aktivieren Sie in der Liste Komponenten das Kontrollkästchen Zertifikatdienste , wählen Sie Weiter und dann Fertig stellen aus.

    6. Alle Benutzer, Computer oder Dienste mit Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden, die nicht mehr ordnungsgemäß funktioniert, müssen sich für Zertifikate der neuen Zertifizierungsstelle registrieren.

Hinweis

Wenn dieses Problem in der Stammzertifizierungsstelle der Public Key-Infrastrukturhierarchie (PKI) auftritt und das Problem nicht behoben werden kann, müssen Sie die gesamte PKI-Hierarchie ersetzen. Weitere Informationen zum Entfernen der PKI-Hierarchie finden Sie unter Außerbetriebnahme einer Windows Enterprise-Zertifizierungsstelle und Entfernen aller zugehörigen Objekte.