Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?

Autor Uwe GradeneggerVeröffentlicht am Kategorien Troubleshooting, Zertifikat-Benutzung, Zertifizierungsstelle

Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn einem der Stammzertifizierungsstellen-Zertifikaten, von welchen eines der Zertifizierungsstellen-Zertifikate abstammt, der Vertrauensstatus entzogen wird, oder dieser nie bestand.

Dieser Fall kann auch planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.

Wenn die LDAP AIA Pfade noch erreichbar sind, stellt die Zertifizierungsstelle selbst den Vertrauensstatus wieder her. Die Zertifizierungsstelle wird hierbei das Ereignis Nr. 103 protokollieren: 

Active Directory Certificate Services added the root certificate of certificate chain 0 to the downloaded Trusted Root Certification Authorities Enterprise store on the CA computer. This store will be updated from the Certification Authorities container in Active Directory the next time Group Policy is applied. To verify that the CA certificate is published correctly in Active Directory, run the following command: certutil -viewstore "ldap:///CN=ADCS Labor Issuing CA 3,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de?cACertificate?base?objectClass=certificationAuthority" (you must include the quotation marks when you run this command). If the root CA certificate is not present, use the Certificates console on the root CA computer to export the certificate to a file, and then run the following command to publish it to Active Directory: Certutil -dspublish %certificatefilename% Root.

Kann die Zertifizierungsstelle den Vertrauensstatus nicht selbständig wiederherstellen, muss unterschieden werden, welches der Zertifizierungsstellen-Zertifikate betroffen ist.

Fall 1: Das aktuelle Zertifizierungsstellen-Zertifikat ist betroffen

Die Zertifizierungsstelle nutzt immer das aktuellste, d.h. zuletzt installierte Zertifizierungsstellen-Zertifikat für die Ausstellung ihrer Zertifikate. Ist dieses Zertifikat betroffen, verweigert die Zertifizierungsstelle den Start des Dienstes, was aber unter Umständen umgangen werden kann. Nähere Informationen finden sich im Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)"".

Die Zertifizierungsstelle wird das Ereignis Nr. 100 protokollieren: 

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate.  ADCS Labor Issuing CA 3 A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING).

Fall 2: Ein früheres Zertifizierungsstellen-Zertifikat ist betroffen

Ist eines der früheren Zertifizierungsstellen-Zertifikate betroffen, startet der Zertifizierungsstellen-Dienst ganz normal. Auch die Wiederherstellung von archivierten Schlüsseln von Zertifikaten, die von dem nicht mehr vertrauten Zertifizierungsstellen-Zertifikat ausgestellt wurden, ist problemlos möglich.

Die Zertifizierungsstelle wird das Ereignis Nr. 42 protokollieren: 

Could not build a certificate chain for CA certificate 2 for ADCS Labor Issuing CA 3.  A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING).

Weiterführende Links:

de_DEDeutsch
en_USEnglish de_DEDeutsch