Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"

Autor Uwe GradeneggerVeröffentlicht am Kategorien Troubleshooting, ZertifizierungsstelleSchlagwörter

Folgendes Szenario angenommen:

  • Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
  • Der Zertifizierungsstellen-Dienst startet nicht.
  • Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:
The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)

Eine entsprechende Fehlermeldung findet sich auch in der Ereignisanzeige (Ereignis Nr. 100) der Zertifizierungsstelle:

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate.  ADCS Labor Issuing CA 3 The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).

Ursache

Im vorliegenden Fall kann die Zertifizierungsstelle den Sperrstatus des aktuell verwendeten Zertifizierungsstellen-Zertifikats nicht überprüfen. Entweder ist die Sperrliste nicht abrufbar (offline, durch Firewall blockiert), oder sie ist abgelaufen (in beiden Fällen wird der Fehlercode CRYPT_E_REVOCATION_OFFLINE generiert).

Dieser Fehler tritt nur beim aktuell verwendeten Zertifizierungsstellen-Zertifikat auf. Die Zertifizierungsstelle nutzt immer das letzte der installierten Zertifikate für die Ausstellung von Zertifikaten. Bei den vorigen Zertifizierungsstellen-Zertifikaten sollte dieser Fehler nicht auftreten.

Workaround: Sperrlistenprüfung für die Zertifizierungsstelle deaktivieren

Die bevorzugte Lösung sollte immer sein, die Ursache für den fehlgeschlagenen Abruf der Sperrinformationen zu beseitigen.

Nicht in allen Fällen ist es möglich, die Verfügbarkeit der Sperrstatusinformationen rechtzeitig wiederherzustellen, da man beispielsweise von einer externen Entität abhängig ist.

Als Übergangslösung kann in solchen Fällen die Sperrlistenprüfung für die Zertifizierungsstelle deaktiviert werden. Hierzu muss das Flag CRLF_REVCHECK_IGNORE_OFFLINE auf der Zertifizierungsstelle gesetzt werden.

Zunächst sollte mit folgendem Kommandozeilenbefehl die aktuelle Konfiguration eingesehen werden:

certutil -getreg CA\CRLFlags

Im obigen Beispiel ist das CRLF_REVCHECK_IGNORE_OFFLINE Flag eingerückt und in Klammern gesetzt, was bedeutet, dass es nicht aktiv ist. Es kann mit folgendem Kommandozeilenbefehl gesetzt werden:

certutil -setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden.

Das Flag kann mit folgendem Befehl wieder entfernt werden:

certutil -setreg CA\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE

Gibt es eine Lösung für den Fall, das Zertifizierungsstellen-Zertifikat keine Sperrinformationen beinhaltet?

Auch in diesem Fall sollte bevorzugt geklärt werden, weshalb das Zertifizierungsstellen-Zertifikat keine Sperrinformationen beinhaltet und die zugrunde liegende Ursache behoben werden.

Unter Umständen erhält man vor der übrgeordneten Zertifizierungsstelle ein Zertifikat, welches über keine Sperrinformationen (CRL oder OCSP) verfügt.

Für diesen Fall kann das Flag CRLF_REVCHECK_IGNORE_NOREVCHECK auf die gleiche Weise aktiviert werden.

Weiterführende Links:

Externe Quellen

10 Gedanken zu „Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"“

  1. Pingback: Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)“ – Uwe Gradenegger
  2. Pingback: Welchen Einfluss haben fehlerhafte Sperrinformationen eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle? – Uwe Gradenegger
  3. Pingback: Details zum Ereignis mit ID 48 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
  4. Pingback: Details zum Ereignis mit ID 100 der Quelle Microsoft-Windows-CertificationAuthority – Uwe Gradenegger
  5. Pingback: Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)" – Uwe Gradenegger
  6. Pingback: Funktionstest durchführen für eine Zertifizierungsstelle – Uwe Gradenegger
  7. Pingback: Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)" – Uwe Grade
  8. Pingback: Die Beantragung eines Zertifikats schlägt fehl mit Fehlermeldung "The certificate request could not be submitted to the certification authority. Error: The RPC server is unavailable. 0x800706ba (WIN32: 1722 RPC_S_SERVER_UNAVAILABLE)" – Uw
  9. Pingback: Rückbau einer Active Directory integrierten Zertifizierungsstelle (Enterprise CA) – Uwe Gradenegger
  10. Pingback: Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "The revocation status of the authentication certificate could not be determined." – Uwe Gradenegger

Kommentare sind geschlossen.

de_DEDeutsch
en_USEnglish de_DEDeutsch