Active Directory 证书服务服务无法启动的基于 Windows Server 2008 的证书颁发机构服务器上如果密钥存储提供程序不支持 SHA1 哈希签名

症状

请考虑以下情形:

  • 您正在运行的基于 Windows Server 2008 的计算机都安装一个第三方密钥存储提供程序 (KSP)。

  • 第三方 KSP 不允许 SHA1 哈希签名。KSP 可能配置为不允许 SHA1 哈希签名或可能不支持它。

  • 您的计算机上安装 Active Directory 证书服务角色。当您执行此操作时,您配置证书服务以使用证书颁发机构 (CA) 的私钥 KSP。

在这种情况下,Active Directory 证书服务服务没有启动。此外,系统日志中记录以下事件︰注释

  • 在此情况下, CAName
    占位符表示已安装的证书颁发机构的名称。ErrorDescription占位符表示此 KSP 请求进行签名的 SHA1 哈希值时由第三方 KSP 返回的错误。实际的错误取决于第三方 KSP 的实现。

  • 出现此问题不使用 Microsoft KSP,如果因为 Microsoft 的密钥存储提供程序允许在默认配置中签名的 SHA1 哈希。

原因

Active Directory 证书服务服务启动时,它将测试通过随机的 SHA1 哈希签名私钥。如果使用私钥 KSP 不允许签名的 SHA1 哈希,活动目录证书服务将不启动。

解决方案

修补程序信息

可以从 Microsoft 获得受支持的修复程序。然而,此修补程序仅用于解决本文中描述的问题。仅对出现这一特定问题的系统应用此修补程序。此修补程序可能会接受进一步的测试。因此,如果这个问题没有对您造成严重的影响,我们建议您等待包含此修复程序的下一个软件更新。

如果此修复程序可供下载,则在此知识库文章的顶部会出现“修补程序下载可用”部分。如果未显示此部分,请与 Microsoft 客户服务和支持部门联系以获取此修复程序。

注意:如果出现其他问题或需要任何故障诊断时,您可能需要创建单独的服务请求。对于不符合此特定的修补程序的其他支持问题和事项将照常收取费用。有关 Microsoft 客户服务和支持电话号码或创建单独的服务请求的完整列表,请访问下面的 Microsoft 网站︰

注意:"提供修补程序下载"窗体显示获取此修复程序的语言。如果看不到您的语言,则修补程序没有那种语言的版本。

Windows Vista 和 Windows Server 2008 的重要修复程序包含在相同的程序包中。但是,这些产品中的只有一个可能"修补程序请求"页上列出。若要请求适用于 Windows Vista 和 Windows Server 2008 的修复程序包,只需选择页列出的产品。

系统必备组件

不需要任何先决条件。

重启要求

应用此修补程序后,必须重新启动计算机。

注意:应用此修补程序后,您不必重新安装 Active Directory 证书服务角色。

修补程序替换信息

此修补程序不替换任何其他修补程序。

文件信息

此修复程序的英文版具有的文件属性 (或更新的文件属性)在下表中列出。日期和为这些文件的时间以协调世界时 (UTC) 列出。当您查看文件信息时,它将转换为本地时间。要了解 UTC 与本地时间之间的时差,请使用控制面板中的日期和时间项中的时区选项卡。

Windows Server 2008 中,基于 x86 的版本

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

×