Sertifika Hizmetleri, Windows Server 2003 veya Windows 2000 çalıştıran bir bilgisayarda başlatılamayabilir
Bu makalede, Sertifika Hizmetleri'nin (CS) Windows Server 2003 veya Windows 2000 çalıştıran bir bilgisayarda başlatılmaması sorununa yönelik bir çözüm sağlanır.
Şunlar için geçerlidir: Windows 10 - tüm sürümler, Windows Server 2012 R2
Özgün KB numarası: 842210
Belirtiler
Microsoft Windows Server 2003 veya Microsoft Windows 2000 Server çalıştıran bir bilgisayarda Sertifika Hizmetleri başlatılamayabilir.
Ayrıca, Olay Görüntüleyicisi Uygulama günlüğüne aşağıdaki hata iletisi kaydedilebilir.
Neden
Sertifika Hizmetleri başlamadan önce, anahtarlar ve sertifikaların süresi dolmuş olsa bile sertifika yetkilisine (CA) verilen tüm anahtarları ve sertifikaları numaralandırır. Bu sertifikalardan herhangi biri yerel bilgisayar Kişisel sertifika deposundan kaldırılmışsa Sertifika Hizmetleri başlatılmaz.
Çözüm
Bu sorunu çözmek için kayıt defterindeki sertifika parmak izi sayısının CA'ya verilmiş sertifika sayısına eşit olduğunu doğrulayın. Eksik sertifikalar varsa, eksik sertifikaları yerel bilgisayar Kişisel sertifika deposuna aktarın. Eksik sertifikaları içeri aktardıktan sonra, içeri aktarılan sertifikalarla ilişkili özel anahtar deposu arasındaki bağlantıyı onarmak için komutunu kullanın certutil -repairstore
.
Bunu yapmak için, bilgisayarınızın hangi işletim sistemi sürümünün çalıştığına bağlı olarak aşağıdaki yöntemlerden birini kullanın.
Yöntem 1: Windows Server 2003
Windows Server 2003 tabanlı bir bilgisayarda bu sorunu çözmek için aşağıdaki adımları izleyin.
1. Adım: Eksik sertifikaları arayın
Önemli
Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Daha fazla bilgi için bkz. Windows'da kayıt defterini yedekleme ve geri yükleme.
Sertifika parmak izleri, bu CA'ya verilmiş olan tüm sertifikaları gösterir. Bir sertifika her yenilendiğinde, kayıt defterindeki CaCertHash listesine yeni bir sertifika parmak izi eklenir. Bu listedeki girdi sayısı, CA'ya verilen ve yerel bilgisayar Kişisel sertifika deposunda listelenen sertifika sayısına eşit olmalıdır.
Eksik sertifikaları aramak için şu adımları izleyin:
Başlat'ı seçin, Çalıştır'ı seçin, regedit yazın ve tamam'ı seçin.
Aşağıdaki alt anahtarı bulun ve seçin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name
*Sağ bölmede CaCertHash öğesine çift tıklayın.
Değer veri listesinin içerdiği sertifika parmak izi sayısını not edin.
Komut İstemi'ni başlatın.
Aşağıdaki komutu yazın ve ENTER tuşuna basın:
certutil -store
Yerel bilgisayar Kişisel sertifika deposunda listelenen sertifika sayısını CaCertHash kayıt defteri girdisinde listelenen sertifika parmak izi sayısıyla karşılaştırın. Sayılar farklıysa 2. Adım: Eksik sertifikaları içeri aktar'a gidin. Sayılar aynıysa , 3. Adım: Windows Server 2003 Yönetim Araçları Paketini Yükleme'ye gidin.
2. Adım: Eksik sertifikaları içeri aktarma
Başlat'ı seçin, Tüm Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve sertifikalar'ı seçin.
Sertifikalar listede görünmüyorsa şu adımları izleyin:
Başlat'ı seçin, Çalıştır'ı seçin, mmc yazın ve ardından Tamam'ı seçin.
Dosya menüsünde Ek Bileşen Ekle/Kaldır'ı seçin.
Ekle'yi seçin.
Ek Bileşen listesinde Sertifikalar'ı ve ardından Ekle'yi seçin.
Sertifikalar ek bileşeni iletişim kutusu görüntülenirse Kullanıcı hesabım'ı ve ardından Son'u seçin.
Kapat'ı ve ardından Tamam'ı seçin.
Sertifikalar dizini artık Microsoft Yönetim Konsolu'na (MMC) eklenir.
Dosya menüsünde Farklı kaydet'i seçin, Dosya adı kutusuna Sertifikalar yazın ve kaydet'i seçin.
Gelecekte Sertifikalar'ı açmak için Başlat'ı seçin, Tüm Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve sertifikalar'ı seçin.
Sertifikalar'ı genişletin, Kişisel'i genişletin, Sertifikalar'a sağ tıklayın, Tüm Görevler'in üzerine gelin ve İçeri Aktar'ı seçin.
Hoş Geldiniz sayfasında, İleri'ye tıklatın.
İçeri Aktaracak Dosya sayfasında, Dosya adı kutusuna içeri aktarmak istediğiniz sertifika dosyasının tam yolunu yazın ve İleri'yi seçin. Bunun yerine Gözat'ı seçin, dosyayı arayın ve ardından İleri'yi seçin.
İçeri aktarmak istediğiniz dosya kişisel bilgi değişimi ise - PKCS #12 (*. PFX) dosyasından parola istenir. Parolayı yazın ve İleri'yi seçin.
Sertifika Deposu sayfasında İleri'yi seçin.
Sertifika İçeri Aktarma Sihirbazı Tamamlanıyor sayfasında Son'u seçin.
Not
CA her zaman CA sertifikalarını klasöre %systemroot%\System32\CertSvc\CertEnroll
yayımlar. Eksik sertifikaları bu klasörde bulabilirsiniz.
3. Adım: Windows Server 2003 Yönetim Araçları Paketi'ni yükleme
Sertifikaları içeri aktardıktan sonra, içeri aktarılan sertifikalarla ilişkili özel anahtar deposu arasındaki bağlantıyı onarmak için Certutil aracını kullanmanız gerekir. Certutil aracı CA Sertifika Araçları'na dahildir. Windows Server 2003 CA Sertifika Araçları, Windows Server 2003 Yönetim Araçları Paketi'nde bulunur. CA Sertifika Araçları bilgisayarınızda yüklü değilse, bunları şimdi yükleyin.
4. Adım: Bağlantıları onarma
Windows Server 2003 Yönetim Araçları Paketi'ni yükledikten sonra şu adımları izleyin:
Komut İstemi'ni başlatın.
Aşağıdakileri yazın ve ENTER tuşuna basın:
cd %systemroot%\system32\certsrv\certenroll
Certenroll klasöründe aşağıdakine benzeyen sertifikayı not edin: Your_Server. Your_Domain.com_rootca.crt
Aşağıdaki komutları yazın ve her komutun ardından ENTER tuşuna basın:
%systemroot%\system32\certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
%systemroot%\System32\certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
Your_Server.Etki_Alanınız.com_rootca.crt, 3. adımda not ettiğiniz Certenroll klasöründeki sertifikanın adıdır.Son komutun çıkışında, sonuna yakın bir alanda aşağıdakine benzer bir satır görürsünüz:
Anahtar Kimliği Karması (sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Anahtar Kimliği Karması verileri bilgisayarınıza özgüdür. Bu satırı not edin.Tırnak işaretleri dahil olmak üzere aşağıdaki komutu yazın ve ENTER tuşuna basın:
%systemroot%\system32\certutil -repairstore my "Key_Id_Hash_Data"Bu komutta,
Key_Id_Hash_Data
4. adımda not ettiğiniz satırdır. Örneğin, aşağıdakileri yazın:
%systemroot%\system32\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"Ardından aşağıdaki çıkışı alırsınız:
CertUtil: -repairstore komutu başarıyla tamamlandı.
Sertifikaları doğrulamak için aşağıdakileri yazın ve ENTER tuşuna basın:
%systemroot%\system32\certutil -verifykeys
Bu komut çalıştırıldıktan sonra aşağıdaki çıkışı alırsınız:CertUtil: -verifykeys komutu başarıyla tamamlandı.
5. Adım: Sertifika Hizmetleri hizmetini başlatma
- Başlat'ı seçin, Yönetimsel Araçlar'ın üzerine gelin ve hizmetler'i seçin.
- Sertifika Hizmetleri'ne sağ tıklayın ve ardından Başlat'ı seçin.
Yöntem 2: Windows 2000
Windows 2000 tabanlı bir bilgisayarda bu sorunu çözmek için aşağıdaki adımları izleyin.
1. Adım: Eksik sertifikaları arama
Önemli
Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştireceğinizin anlatıldığı adımları içermektedir. Ancak kayıt defterini hatalı biçimde değiştirirseniz önemli sorunlar oluşabilir. Bu nedenle bu adımları dikkatle uyguladığınızdan emin olun. Ek koruma için kayıt defterini değiştirmeden önce yedeklemeyi unutmayın. Böylece, bir sorun oluşursa kayıt defterini daha sonra geri yükleyebilirsiniz. Daha fazla bilgi için bkz. Windows'da kayıt defterini yedekleme ve geri yükleme.
Sertifika parmak izleri, bu CA'ya verilmiş olan tüm sertifikaları gösterir. Bir sertifika her yenilendiğinde, kayıt defterindeki CaCertHash listesine yeni bir sertifika parmak izi eklenir. Bu listedeki girdi sayısı, CA'ya verilen ve yerel bilgisayar Kişisel sertifika deposunda listelenen sertifika sayısına eşit olmalıdır.
Eksik sertifikaları aramak için şu adımları izleyin:
Başlat'ı seçin, Çalıştır'ı seçin, regedit yazın ve tamam'ı seçin.
Aşağıdaki alt anahtarı bulun ve seçin:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\**Your_Certificate_Authority_Name
*Sağ bölmede CaCertHash öğesine çift tıklayın.
Değer veri listesinin içerdiği sertifika parmak izi sayısını not edin.
Komut İstemi'ni başlatın.
Aşağıdakileri yazın ve ENTER tuşuna basın:
certutil -store
Yerel bilgisayar Kişisel sertifika deposunda listelenen sertifika sayısını CaCertHash kayıt defteri girdisinde listelenen sertifika parmak izi sayısıyla karşılaştırın. Sayılar farklıysa 2. Adım: Eksik sertifikaları içeri aktar'a gidin. Sayılar aynıysa , 3. Adım: Windows Server 2003 Yönetim Araçları Paketini Yükleme'ye gidin.
2. Adım: Eksik sertifikaları içeri aktarma
Başlat'ı seçin, Programlar'ın üzerine gelin, Yönetim Araçları'nın üzerine gelin ve sertifikalar'ı seçin.
Sertifikalar listede görünmüyorsa şu adımları izleyin:
- Başlat'ı seçin, Çalıştır'ı seçin, mmc yazın ve ardından Tamam'ı seçin.
- Konsol menüsünde Ek Bileşen Ekle/Kaldır'ı seçin.
- Ekle'yi seçin
- Ek Bileşen listesinde Sertifikalar'ı ve ardından Ekle'yi seçin.
Sertifikalar ek bileşeni iletişim kutusu görüntülenirse Kullanıcı hesabım'ı ve ardından Son'u seçin. 5. Kapat'ı seçin. 6. Tamam'ı seçin. 7. Sertifikalar dizini artık Microsoft Yönetim Konsolu'na (MMC) eklenir. 8. Konsol menüsünde Farklı kaydet'i seçin, dosya adı olarak Sertifikalar yazın ve kaydet'i seçin.
Gelecekte Sertifikalar'ı açmak için Başlat'ı seçin, Programlar'ın üzerine gelin, Yönetimsel Araçlar'ın üzerine gelin ve sertifikalar'ı seçin.
Sertifikalar'ı genişletin, Kişisel'i genişletin, Sertifikalar'a sağ tıklayın, Tüm Görevler'in üzerine gelin ve İçeri Aktar'ı seçin.
Hoş Geldiniz sayfasında, İleri'ye tıklatın.
İçeri Aktaracak Dosya sayfasında, Dosya adı kutusuna içeri aktarmak istediğiniz sertifika dosyasının tam yolunu yazın ve İleri'yi seçin. Bunun yerine Gözat'ı seçin, dosyayı arayın ve ardından İleri'yi seçin.
İçeri aktarmak istediğiniz dosya kişisel bilgi değişimi ise - PKCS #12 (*. PFX), sizden parola istenir. Parolayı yazın ve İleri'yi seçin.
Sertifika Deposu sayfasında İleri'yi seçin.
Sertifika İçeri Aktarma Sihirbazı Tamamlanıyor sayfasında Son'u seçin.
Not
CA her zaman CA sertifikalarını klasöre %systemroot%\System32\CertSvc\CertEnroll
yayımlar. Eksik sertifikaları bu klasörde bulabilirsiniz.
3. Adım: Windows Server 2003 Certutil araçlarını yükleme
Sertifikaları içeri aktardıktan sonra, içeri aktarılan sertifikalarla ilişkili özel anahtar deposu arasındaki bağlantıyı onarmak için Windows Server 2003 CA Sertifika Araçları'nı kullanmanız gerekir.
Certutil.exe ve Certreq.exe Windows Server 2003 sürümleri Windows Server 2003 Yönetim Araçları Paketi'ne dahildir. Araçları Windows 2000 tabanlı bir bilgisayara yüklemek için, önce Windows Server 2003 Yönetim Araçları Paketi'ni Windows Server 2003 veya Microsoft Windows XP Service Pack 1 (SP1) veya sonraki bir hizmet paketi çalıştıran bir bilgisayara yüklemeniz gerekir. Windows Server 2003 Yönetim Araçları Paketi doğrudan Windows 2000 tabanlı bir bilgisayara yüklenemez.
Önemli
Windows Server 2003 CA Sertifika Araçları'nı Windows 2000 tabanlı bilgisayara kopyaladıktan sonra, Certutil aracının iki sürümü Windows 2000 tabanlı bilgisayarda bulunur. Windows 2000 Certutil aracını kaldırmayın. Diğer programlar bu aracın Windows 2000 sürümüne bağlıdır. Örneğin, Sertifikalar MMC ek bileşeni Windows 2000 Certutil aracını gerektirir. Ayrıca, Windows Server 2003 Certcli.dll ve Certadm.dll dosyalarını Windows 2000 tabanlı bilgisayara kaydetmeyin.
Windows 2000 tabanlı bir bilgisayarda Windows Server 2003 CA Sertifika Araçları'nı kullanmak için şu adımları izleyin:
Windows Server 2003 Yönetim Araçları Paketi'ni indirme
Windows Server 2003 veya WINDOWS XP SP1 veya sonraki bir hizmet paketi çalıştıran bir bilgisayarda oturum açın.
Windows Server 2003 Yönetim Araçları Paketi'ni yükleyin.
Windows Server 2003 Yönetim Araçları Paketi'nde aşağıdaki dosyaları bulun ve bunları 3,5 inç disk gibi çıkarılabilir bir depolama ortamına kopyalayın:
Certreq.exe
Certutil.exe
Certcli.dll
Certadm.dllWindows 2000 tabanlı bilgisayarda yönetici olarak oturum açın.
4. adımda kullandığınız çıkarılabilir depolama ortamını Windows 2000 tabanlı bilgisayarın uygun sürücüsüne takın.
Komut İstemi'ni başlatın.
Yeni bir klasör oluşturun ve ardından çıkarılabilir depolama ortamındaki dosyaları yeni klasöre kopyalayın. Bunu yapmak için aşağıdaki komutları yazın ve her komutun ardından ENTER tuşuna basın:
Cd\
md W2k3tool
cd w2k3tool
copy Removable_Media_Drive_Letter:\cert*Not
Certutil aracının bilgisayarınızda bulunan Windows 2000 sürümleriyle çakışmaları önlemek için sistem arama yolunuzda W2k3tool klasörünü eklemeyin.
4. Adım: Bağlantıları onarma
Windows Server 2003 CA Sertifika Araçları dosyalarını Windows 2000 tabanlı bilgisayara kopyaladıktan sonra şu adımları izleyin:
Komut İstemi'ni başlatın.
Aşağıdakileri yazın ve ENTER tuşuna basın:
cd %systemroot\system32\certsrv\certenroll
Certenroll klasöründe aşağıdakine benzer şekilde görünen sertifikayı not edin:
Your_Server.Your_Domain.com_rootca.crtAşağıdaki komutları yazın ve her komut sonrasında ENTER tuşuna basın:
Root_Drive_Letter:\w2k3tool\certutil -addstore my %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crt
Root_Drive_Letter:\w2k3tool\certutil -dump %systemroot%\system32\certsrv\certenroll\ Your_Server.Your_Domain.com_rootca.crtRoot_Drive_Letter , kök dizinin harfidir.
Your_Server.Etki_Alanınız.com_rootca.crt, 3. adımda not ettiğiniz Certenroll klasöründeki sertifikanın adıdır.
Son komutun çıkışında, sonuna yakın bir satır görürsünüz: Anahtar Kimliği Karması (sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b
Anahtar Kimliği Karması verileri bilgisayarınıza özgüdür. Bu satırı not edin.Tırnak işaretleri de dahil olmak üzere aşağıdaki komutu yazın ve ENTER tuşuna basın:
Root_Drive_Letter:\w2k3tool\certutil -repairstore my "Key_Id_Hash_Data"
Bu komutta,Key_Id_Hash_Data
5. adımda not ettiğiniz satırdır. Örneğin, aşağıdakileri yazın:
c:\w2k3tool\certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"Bu komutu tamamladıktan sonra aşağıdaki çıkışı alırsınız:
CertUtil: -repairstore komutu başarıyla tamamlandı.
Sertifikaları doğrulamak için aşağıdaki komutu yazın ve ENTER tuşuna basın:
Root_Drive_Letter:\w2k3tool\certutil -verifykeysBu komut çalıştırıldıktan sonra aşağıdaki çıkışı alırsınız:
CertUtil: -verifykeys komutu başarıyla tamamlandı.
5. Adım: Sertifika Hizmetleri hizmetini başlatma
- Başlat'ı seçin, Yönetimsel Araçlar'ın üzerine gelin ve hizmetler'i seçin.
- Sertifika Hizmetleri'ne sağ tıklayın ve ardından Başlat'ı seçin.
Daha fazla bilgi
Aşağıdaki koşullardan biri doğruysa CA'nın yetkisini alıp değiştirmeniz gerekir:
Eksik sertifikaları bulamazsınız.
Sertifikalar yeniden yüklenemez.
Özel
certutil -repairstore
anahtarlar kaldırıldığından komut tamamlanamadı. Ca'nın yetkisini almak ve ca'yı değiştirmek için şu adımları izleyin:Ca'nın düzgün çalışmayı durduran sertifikalarını iptal edin. Bunu yapmak için şu adımları uygulayın:
- İptal etmek istediğiniz sertifikaları veren bilgisayarda yönetici olarak oturum açın.
- Başlat'ı seçin, Programlar'ın üzerine gelin, Yönetim Araçları'nın üzerine gelin ve ardından Sertifika Yetkilisi'ni seçin.
- CA_Name genişletin ve Verilen Sertifikalar'ı seçin.
- Sağ bölmede iptal etmek istediğiniz sertifikayı seçin.
- Eylem menüsünde Tüm Görevler'in üzerine gelin ve Sertifikayı İptal Et'i seçin.
- Neden kodu listesinde sertifikayı iptal etme nedenini ve ardından Evet'i seçin.
Bu, CA tarafından verilen ve düzgün çalışmayı durduran tüm sertifikaları iptal eder.
Sertifika iptal listesini (CRL) bir sonraki en yüksek CA'da yayımlayın. Bunu yapmak için şu adımları uygulayın:
- Bir sonraki en yüksek CA'nın çalıştığı bilgisayarda yönetici olarak oturum açın.
- Başlat'ı seçin, Programlar'ın üzerine gelin, Yönetim Araçları'nın üzerine gelin ve ardından Sertifika Yetkilisi'ni seçin.
- CA_Name genişletin ve ardından İptal Edilen Sertifikalar'ı seçin.
- Eylem menüsünde Tüm Görevler'in üzerine gelin ve Yayımla'yı seçin.
- Daha önce yayımlanan CRL'nin üzerine yazmak için Evet'i seçin.
Düzgün çalışmayı durduran CA Active Directory dizin hizmetlerinde yayımlanmışsa, kaldırın. CA'yı Active Directory'den kaldırmak için şu adımları izleyin:
- Komut İstemi'ni başlatın.
- Aşağıdakileri yazın ve ENTER tuşuna basın:
certutil -dsdel CA_Name
SERTIFIKA Yetkilisinin düzgün çalışmayı durdurduğu sunucudan Sertifika Hizmetleri'ni kaldırın. Bunu yapmak için şu adımları uygulayın:
- Başlangıç'ı seçin, Ayarlar'ın üzerine gelin ve Denetim Masası'ı seçin.
- Program Ekle/Kaldır'a çift tıklayın ve ardından Windows Bileşenleri Ekle/Kaldır'ı seçin.
- Bileşenler listesinde Sertifika Hizmetleri onay kutusunu temizlemek için tıklayın, İleri'yi ve ardından Son'u seçin.
Sertifika Hizmetleri'ni yükleyin. Bunu yapmak için şu adımları uygulayın:
- Windows Bileşenleri Ekle/Kaldır'ı seçin.
- Bileşenler listesinde Sertifika Hizmetleri onay kutusunu seçmek için İleri'yi ve ardından Son'u seçin.
CA tarafından düzgün çalışmayı durduran tüm kullanıcılar, bilgisayarlar veya sertifikalara sahip hizmetlerin yeni CA'dan sertifikalar için kaydolması gerekir.
Not
Bu sorun ortak anahtar altyapısı (PKI) hiyerarşisinin Kök CA'sı üzerinde oluşursa ve sorun onarılamazsa, PKI hiyerarşisinin tamamını değiştirmeniz gerekir. PKI hiyerarşisini kaldırma hakkında daha fazla bilgi için bkz. Windows kurumsal sertifika yetkilisinin yetkisini alma ve tüm ilgili nesneleri kaldırma.
Geri Bildirim
https://aka.ms/ContentUserFeedback.
Çok yakında: 2024 boyunca, içerik için geri bildirim mekanizması olarak GitHub Sorunları’nı kullanımdan kaldıracak ve yeni bir geri bildirim sistemiyle değiştireceğiz. Daha fazla bilgi için bkz.Gönderin ve geri bildirimi görüntüleyin