Servizi certificati potrebbe non essere avviato in un computer che esegue Windows Server 2003 o Windows 2000

  • Articolo

Questo articolo fornisce una soluzione a un problema per cui Servizi certificati (CS) potrebbe non essere avviato in un computer che esegue Windows Server 2003 o Windows 2000.

Si applica a: Windows 10: tutte le edizioni, Windows Server 2012 R2
Numero KB originale: 842210

Sintomi

In un computer che esegue Microsoft Windows Server 2003 o Microsoft Windows 2000 Server, Servizi certificati potrebbe non essere avviato.

Inoltre, è possibile che il messaggio di errore seguente venga registrato nel registro applicazioni in Visualizzatore eventi.

Causa

Prima dell'avvio di Servizi certificati, enumera tutte le chiavi e i certificati rilasciati all'autorità di certificazione (CA), anche se le chiavi e i certificati sono scaduti. Servizi certificati non verrà avviato se uno di questi certificati è stato rimosso dall'archivio certificati personale del computer locale.

Risoluzione

Per risolvere questo problema, verificare che il numero di identificazioni personali del certificato nel Registro di sistema sia uguale al numero di certificati rilasciati alla CA. Se mancano certificati, importare i certificati mancanti nell'archivio certificati personale del computer locale. Dopo aver importato i certificati mancanti, usare il certutil -repairstore comando per ripristinare il collegamento tra i certificati importati e l'archivio chiavi privato associato.

A tale scopo, usare uno dei metodi seguenti, a seconda della versione del sistema operativo in esecuzione nel computer.

Metodo 1: Windows Server 2003

Per risolvere questo problema in un computer basato su Windows Server 2003, seguire questa procedura.

Passaggio 1: Cercare i certificati mancanti

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows.

Le identificazioni personali del certificato indicano tutti i certificati rilasciati a questa CA. Ogni volta che viene rinnovato un certificato, viene aggiunta una nuova identificazione personale del certificato all'elenco CaCertHash nel Registro di sistema. Il numero di voci in questo elenco deve essere uguale al numero di certificati rilasciati alla CA e elencati nell'archivio certificati personale del computer locale.

Per cercare i certificati mancanti, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare regedit e quindi selezionare OK.

  2. Individuare e selezionare la sottochiave seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. Nel riquadro destro fare doppio clic su CaCertHash.

  4. Prendere nota del numero di identificazioni personali del certificato contenute nell'elenco Dati valore .

  5. Avviare il prompt dei comandi.

  6. Digitare il comando seguente e quindi premere INVIO: certutil -store

    Confrontare il numero di certificati elencati nell'archivio certificati personale del computer locale con il numero di identificazioni personali del certificato elencate nella voce del Registro di sistema CaCertHash. Se i numeri sono diversi, passare al passaggio 2: Importare i certificati mancanti. Se i numeri sono gli stessi, passare al passaggio 3: Installare Windows Server 2003 Administration Tools Pack.

Passaggio 2: Importare i certificati mancanti

  1. Selezionare Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi Certificati.

    Se i certificati non vengono visualizzati nell'elenco, seguire questa procedura:

    1. Selezionare Start, selezionare Esegui, digitare mmc e quindi selezionare OK.

    2. Nel menu File, selezionare Aggiungi/Rimuovi snap-in.

    3. Selezionare Aggiungi.

    4. Nell'elenco Snap-in selezionare Certificati e quindi selezionare Aggiungi.

      Se viene visualizzata la finestra di dialogo Snap-in Certificati, selezionare Account utente personale e quindi fine.

    5. Fare clic su Chiudi, quindi su OK.

      La directory Certificati viene ora aggiunta a Microsoft Management Console (MMC).

    6. Nel menu File selezionare Salva con nome, digitare Certificati nella casella Nome file e quindi selezionare Salva.

      Per aprire Certificati in futuro, selezionare Start, scegliere Tutti i programmi, Strumenti di amministrazione e quindi Certificati.

  2. Espandere Certificati, Espandere Personale, fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e quindi selezionare Importa.

  3. Nella pagina Iniziale, fare clic su Avanti.

  4. Nella pagina File da importare digitare il percorso completo del file di certificato da importare nella casella Nome file e quindi selezionare Avanti. Selezionare invece Sfoglia, cercare il file e quindi selezionare Avanti.

  5. Se il file da importare è uno scambio di informazioni personali - PKCS #12 (*. PFX), verrà richiesta la password. Digitare la password e quindi selezionare Avanti.

  6. Nella pagina Archivio certificati selezionare Avanti.

  7. Nella pagina Completamento importazione guidata certificati selezionare Fine.

Nota

La CA pubblica sempre i certificati CA nella %systemroot%\System32\CertSvc\CertEnroll cartella . È possibile che i certificati mancanti si trovino in tale cartella.

Passaggio 3: Installare Windows Server 2003 Administration Tools Pack

Dopo aver importato i certificati, è necessario usare lo strumento Certutil per ripristinare il collegamento tra i certificati importati e l'archivio chiavi privato associato. Lo strumento Certutil è incluso in Ca Certificate Tools. The Windows Server 2003 CA Certificate Tools are located in the Windows Server 2003 Administration Tools Pack. Se gli strumenti del certificato della CA non sono installati nel computer, installarli ora.

Dopo aver installato Windows Server 2003 Administration Tools Pack, seguire questa procedura:

  1. Avviare il prompt dei comandi.

  2. Digitare quanto segue e quindi premere INVIO:
    cd %systemroot%\system32\certsrv\certenroll

  3. Prendere nota del certificato nella cartella Certenroll simile al seguente: Your_Server. Your_Domain.com_rootca.crt

  4. Digitare i comandi seguenti e quindi premere INVIO dopo ogni comando: %systemroot%\system32\certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt%systemroot%\System32\certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crtYour_Server.Your_Domain.com_rootca.crt è il nome del certificato nella cartella Certenroll annotata nel passaggio 3.

  5. Nell'output dell'ultimo comando, verso la fine, verrà visualizzata una riga simile alla seguente:
    Hash id chiave(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    I dati hash dell'ID chiave sono specifici del computer. Prendere nota di questa riga.

  6. Digitare il comando seguente, incluse le virgolette, quindi premere INVIO:
    %systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data"

    In questo comando Key_Id_Hash_Data è la riga annotata nel passaggio 4. Ad esempio, digitare quanto segue:
    %systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

    Si riceverà quindi l'output seguente:

    CertUtil: comando -repairstore completato correttamente.

  7. Per verificare i certificati, digitare quanto segue e quindi premere INVIO:
    %systemroot%\system32\certutil -verifykeys Dopo l'esecuzione di questo comando, si riceverà l'output seguente:

    CertUtil: comando -verifykeys completato correttamente.

Passaggio 5: Avviare il servizio Servizi certificati

  1. Selezionare Start, scegliere Strumenti di amministrazione e quindi Servizi.
  2. Fare clic con il pulsante destro del mouse su Servizi certificati e quindi scegliere Avvia.

Metodo 2: Windows 2000

Per risolvere questo problema in un computer basato su Windows 2000, seguire questa procedura.

Passaggio 1: Ricerca di certificati mancanti

Importante

In questa sezione, metodo o attività viene illustrata la procedura per modificare il Registro di sistema. Poiché l'errata modifica del Registro di sistema può causare seri problemi, Di conseguenza, attenersi scrupolosamente alla procedura indicata. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. In questo modo sarà possibile ripristinare il Registro di sistema se si verifica un problema. Per altre informazioni, vedere Come eseguire il backup e ripristinare il Registro di sistema in Windows.

Le identificazioni personali del certificato indicano tutti i certificati rilasciati a questa CA. Ogni volta che viene rinnovato un certificato, viene aggiunta una nuova identificazione personale del certificato all'elenco CaCertHash nel Registro di sistema. Il numero di voci in questo elenco deve essere uguale al numero di certificati rilasciati alla CA e elencati nell'archivio certificati personale del computer locale.

Per cercare i certificati mancanti, seguire questa procedura:

  1. Selezionare Start, selezionare Esegui, digitare regedit e quindi selezionare OK.

  2. Individuare e selezionare la sottochiave seguente: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name*

  3. Nel riquadro destro fare doppio clic su CaCertHash.

  4. Prendere nota del numero di identificazioni personali del certificato contenute nell'elenco Dati valore .

  5. Avviare il prompt dei comandi.

  6. Digitare quanto segue e quindi premere INVIO: certutil -store

Confrontare il numero di certificati elencati nell'archivio certificati personale del computer locale con il numero di identificazioni personali del certificato elencate nella voce del Registro di sistema CaCertHash. Se i numeri sono diversi, passare al passaggio 2: Importare i certificati mancanti. Se i numeri sono gli stessi, passare al passaggio 3: Installare Windows Server 2003 Administration Tools Pack.

Passaggio 2: Importazione dei certificati mancanti

  1. Selezionare Start, programmi, strumenti di amministrazione e quindi certificati.

    Se i certificati non vengono visualizzati nell'elenco, seguire questa procedura:

    1. Selezionare Start, selezionare Esegui, digitare mmc e quindi selezionare OK.
    2. Nel menu Console selezionare Aggiungi/Rimuovi snap-in.
    3. Selezionare Aggiungi
    4. Nell'elenco Snap-in selezionare Certificati e quindi selezionare Aggiungi.

    Se viene visualizzata la finestra di dialogo Snap-in Certificati, selezionare Account utente personale e quindi fine. 5. Selezionare Chiudi. 6. Selezionare OK. 7. La directory Certificati viene ora aggiunta a Microsoft Management Console (MMC). 8. Nel menu Console selezionare Salva con nome, digitare Certificati come nome file e quindi selezionare Salva.

    Per aprire Certificati in futuro, selezionare Start, programmi, strumenti di amministrazione e quindi certificati.

  2. Espandere Certificati, Espandere Personale, fare clic con il pulsante destro del mouse su Certificati, scegliere Tutte le attività e quindi selezionare Importa.

  3. Nella pagina Iniziale, fare clic su Avanti.

  4. Nella pagina File da importare digitare il percorso completo del file di certificato da importare nella casella Nome file e quindi selezionare Avanti. Selezionare invece Sfoglia, cercare il file e quindi selezionare Avanti.

  5. Se il file da importare è uno scambio di informazioni personali - PKCS #12 (*. PFX), verrà richiesta la password. Digitare la password e quindi selezionare Avanti.

  6. Nella pagina Archivio certificati selezionare Avanti.

  7. Nella pagina Completamento importazione guidata certificati selezionare Fine.

Nota

La CA pubblica sempre i certificati CA nella %systemroot%\System32\CertSvc\CertEnroll cartella . È possibile che i certificati mancanti si trovino in tale cartella.

Passaggio 3: Installare gli strumenti di Certutil di Windows Server 2003

Dopo aver importato i certificati, è necessario usare Gli strumenti del certificato della CA di Windows Server 2003 per ripristinare il collegamento tra i certificati importati e l'archivio chiavi private associato.

Le versioni di Windows Server 2003 di Certutil.exe e Certreq.exe sono incluse in Windows Server 2003 Administration Tools Pack. Per installare gli strumenti in un computer basato su Windows 2000, è innanzitutto necessario installare Windows Server 2003 Administration Tools Pack in un computer che esegue Windows Server 2003 o Microsoft Windows XP con Service Pack 1 (SP1) o con un Service Pack successivo. Il Pacchetto strumenti di amministrazione di Windows Server 2003 non può essere installato direttamente in un computer basato su Windows 2000.

Importante

Dopo aver copiato gli strumenti del certificato della CA di Windows Server 2003 nel computer basato su Windows 2000, due versioni dello strumento Certutil risiederanno nel computer basato su Windows 2000. Non rimuovere lo strumento Certutil di Windows 2000. Altri programmi dipendono dalla versione di Windows 2000 di questo strumento. Ad esempio, lo snap-in MMC Certificati richiede lo strumento Certutil di Windows 2000. Inoltre, non registrare i file di Certcli.dll e Certadm.dll di Windows Server 2003 nel computer basato su Windows 2000.

Per usare Gli strumenti del certificato della CA di Windows Server 2003 in un computer basato su Windows 2000, seguire questa procedura:

  1. Scaricare Windows Server 2003 Administration Tools Pack

  2. Accedere a un computer che esegue Windows Server 2003 o Windows XP con SP1 o con un Service Pack successivo.

  3. Installare Windows Server 2003 Administration Tools Pack.

  4. In Windows Server 2003 Administration Tools Pack individuare i file seguenti e quindi copiarli in un supporto di archiviazione rimovibile, ad esempio un disco da 3,5 pollici:
    Certreq.exe
    Certutil.exe
    Certcli.dll
    Certadm.dll

  5. Accedere al computer basato su Windows 2000 come amministratore.

  6. Inserire il supporto di archiviazione rimovibile usato nel passaggio 4 nell'unità appropriata del computer basato su Windows 2000.

  7. Avviare il prompt dei comandi.

  8. Creare una nuova cartella e quindi copiare i file nel supporto di archiviazione rimovibile nella nuova cartella. A tale scopo, digitare i comandi seguenti e quindi premere INVIO dopo ogni comando:
    Cd\
    md W2k3tool
    cd w2k3tool
    copy Removable_Media_Drive_Letter:\cert*

    Nota

    Per evitare conflitti con le versioni di Windows 2000 dello strumento Certutil già presenti nel computer, non includere la cartella W2k3tool nel percorso di ricerca del sistema.

Dopo aver copiato i file di Strumenti certificati CA di Windows Server 2003 nel computer basato su Windows 2000, seguire questa procedura:

  1. Avviare il prompt dei comandi.

  2. Digitare quanto segue e quindi premere INVIO:
    cd %systemroot\system32\certsrv\certenroll

  3. Prendere nota del certificato nella cartella Certenroll simile al seguente:
    Your_Server.Your_Domain.com_rootca.crt

  4. Digitare i comandi seguenti e quindi premere INVIO dopo ogni comando:
    Root_Drive_Letter:\w2k3tool\certutil -addstore my %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt
    Root_Drive_Letter:\w2k3tool\certutil -dump %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt

    Root_Drive_Letter è la lettera della directory radice.

    Your_Server.Your_Domain.com_rootca.crt è il nome del certificato nella cartella Certenroll annotata nel passaggio 3.

  5. Nell'output dell'ultimo comando, verso la fine, verrà visualizzata una riga simile alla seguente: Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
    I dati hash dell'ID chiave sono specifici del computer. Prendere nota di questa riga.

  6. Digitare il comando seguente, incluse le virgolette, quindi premere INVIO:
    Root_Drive_Letter:\w2k3tool\certutil -repairstore my "Key_Id_Hash_Data"
    In questo comando Key_Id_Hash_Data è la riga annotata nel passaggio 5. Ad esempio, digitare quanto segue:
    c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

    Dopo aver completato questo comando, si riceverà l'output seguente:

    CertUtil: comando -repairstore completato correttamente.

  7. Per verificare i certificati, digitare il comando seguente e quindi premere INVIO:
    Root_Drive_Letter:\w2k3tool\certutil -verifykeys

    Dopo l'esecuzione di questo comando, si riceverà l'output seguente:

    CertUtil: comando -verifykeys completato correttamente.

Passaggio 5: Avvio del servizio Servizi certificati

  1. Selezionare Start, scegliere Strumenti di amministrazione e quindi Servizi.
  2. Fare clic con il pulsante destro del mouse su Servizi certificati e quindi scegliere Avvia.

Ulteriori informazioni

Se si verifica una delle condizioni seguenti, è necessario rimuovere e sostituire la CA:

  • Non è possibile individuare i certificati mancanti.

  • Non è possibile reinstallare i certificati.

  • Il certutil -repairstore comando non può essere completato perché le chiavi private sono state rimosse. Per rimuovere le autorizzazioni e sostituire la CA, seguire questa procedura:

    1. Revocare i certificati per la CA che ha smesso di funzionare correttamente. Per effettuare questa operazione, seguire questi passaggi:

      1. Accedere come amministratore al computer che ha emesso i certificati che si desidera revocare.
      2. Selezionare Start, scegliere Programmi, Strumenti di amministrazione e quindi Autorità di certificazione.
      3. Espandere CA_Name e quindi selezionare Certificati rilasciati.
      4. Nel riquadro destro selezionare il certificato da revocare.
      5. Scegliere Tutte le attività dal menu Azione, quindi selezionare Revoca certificato.
      6. Nell'elenco Codice motivo selezionare il motivo della revoca del certificato e quindi selezionare .

      Verranno revocati tutti i certificati rilasciati dalla CA che ha smesso di funzionare correttamente.

    2. Pubblicare l'elenco di revoche di certificati (CRL) nella CA più alta successiva. Per effettuare questa operazione, seguire questi passaggi:

      1. Accedere come amministratore al computer che esegue la ca più alta successiva.
      2. Selezionare Start, scegliere Programmi, Strumenti di amministrazione e quindi Autorità di certificazione.
      3. Espandere CA_Name e quindi selezionare Certificati revocati.
      4. Scegliere Tutte le attività dal menu Azione e quindi selezionare Pubblica.
      5. Selezionare per sovrascrivere il CRL pubblicato in precedenza.

    3. Se la CA che ha smesso di funzionare correttamente è stata pubblicata nei servizi directory active directory, rimuoverla. Per rimuovere la CA da Active Directory, seguire questa procedura:

      1. Avviare il prompt dei comandi.
      2. Digitare quanto segue e quindi premere INVIO:
        certutil -dsdel CA_Name

    4. Rimuovere Servizi certificati dal server in cui la CA ha smesso di funzionare correttamente. Per effettuare questa operazione, seguire questi passaggi:

      1. Selezionare Start, scegliere Impostazioni e quindi Pannello di controllo.
      2. Fare doppio clic su Installazione applicazioni e quindi selezionare Aggiungi/Rimuovi componenti di Windows.
      3. Nell'elenco Componenti fare clic per deselezionare la casella di controllo Servizi certificati, selezionare Avanti e quindi fine.

    5. Installare Servizi certificati. Per effettuare questa operazione, seguire questi passaggi:

      1. Selezionare Aggiungi/Rimuovi componenti di Windows.
      2. Nell'elenco Componenti selezionare la casella di controllo Servizi certificati, selezionare Avanti e quindi fine.

    6. Tutti gli utenti, i computer o i servizi con certificati rilasciati dalla CA che ha smesso di funzionare correttamente devono registrarsi per i certificati della nuova CA.

Nota

Se questo problema si verifica nella CA radice della gerarchia PKI (Public Key Infrastructure) e se il problema non può essere risolto, sarà necessario sostituire l'intera gerarchia PKI. Per altre informazioni su come rimuovere la gerarchia PKI, vedere Come rimuovere un'autorità di certificazione aziendale Windows e rimuovere tutti gli oggetti correlati.