Folgendes Szenario angenommen:
- Man installiert ein neues Zertifizierungsstellen-Zertifikat auf der Zertifizierungsstelle, entweder weil die Zertifizierungsstelle neu installiert wurde, oder weil das Zertifizierungsstellen-Zertifikat erneuert wurde.
- Bei der Installation erhält man folgende Fehlermeldung:
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)
Diese Warnung wird erzeugt, wenn das neue Zertifizierungsstellen-Zertifikat keine Sperrlistenverteilpunkte (Certificate Revocation List Distribution Point, CDP) enthält. Diese sollten bei der Signatur des Zertifizierungsstellen-Zertifikats durch die übergeordnete Zertifizierungsstelle von dieser in das Zertifikat eingetragen werden.
Falls möglich sollte man also abbrechen und die übergeordnete Zertifizierungsstelle um Eintragung der CDP-PFade bitten. Sollte dies nicht möglich sein, kann man das CA-Zertifikat dennoch installieren – es kann dann jedoch nicht auf Sperrung überprüft werden.
Man kann die Meldung auch gänzlich unterdrücken, indem man folgenden Kommandozeilenbefehl auf der Zertifizierungsstelle ausführt:
certutil -setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_NOREVCHECK
Dies ist jedoch nicht zwingend erforderlich, da nur bei der Installation des Zertifizierungsstellen-Zertifikats einmalig eine Warnung generiert wird.