Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"

Folgendes Szenario angenommen:

  • Man installiert ein neues Zertifizierungsstellen-Zertifikat auf der Zertifizierungsstelle, entweder weil die Zertifizierungsstelle neu installiert wurde, oder weil das Zertifizierungsstellen-Zertifikat erneuert wurde.
  • Bei der Installation erhält man folgende Fehlermeldung:
Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)

Diese Warnung wird erzeugt, wenn das neue Zertifizierungsstellen-Zertifikat keine Sperrlistenverteilpunkte (Certificate Revocation List Distribution Point, CDP) enthält. Diese sollten bei der Signatur des Zertifizierungsstellen-Zertifikats durch die übergeordnete Zertifizierungsstelle von dieser in das Zertifikat eingetragen werden.

Falls möglich sollte man also abbrechen und die übergeordnete Zertifizierungsstelle um Eintragung der CDP-PFade bitten. Sollte dies nicht möglich sein, kann man das CA-Zertifikat dennoch installieren – es kann dann jedoch nicht auf Sperrung überprüft werden.

Man kann die Meldung auch gänzlich unterdrücken, indem man folgenden Kommandozeilenbefehl auf der Zertifizierungsstelle ausführt:

certutil -setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_NOREVCHECK

Dies ist jedoch nicht zwingend erforderlich, da nur bei der Installation des Zertifizierungsstellen-Zertifikats einmalig eine Warnung generiert wird.

Weiterführende Links: