Zertifizierungsstellen-Wartung

Entfernen alter Zertifizierungsstellen-Zertifikate aus der Konfiguration einer Zertifizierungsstelle

Im Laufe der Lebenszeit einer Zertifizierungsstelle werden Zertifizierungsstellen-Zertifikate gemäß der Planung für deren Lebenszyklus erneuert. Hierbei kann optional ein neues Schlüsselpaar verwendet werden. Die vorigen Zertifizierungsstellen-Zertifikate laufen ab oder werden widerrufen.

Abgelaufene Zertifizierungsstellen-Zertifikate können unter Umständen zum Problem werden, wenn beispielsweise die zugehörigen privaten Schlüssel auf alten Hardware Security Modulen (HSM) gespeichert sind, und diese nur unter größeren Schwierigkeiten auf neue Hardware migriert werden können.

In einem solchen Fall kann es sinnvoll sein, alte Zertifizierungsstellen-Zertifikate aus der Konfiguration der Zertifizierungsstelle zu entfernen.

Eine Active Directory integrierte Zertifizierungsstelle (Enterprise Certification Authority) in den Wartungsmodus versetzen

Möchte man Wartungsarbeiten wie beispielsweise die Migration auf einen anderen Server oder umfangreichere Konfigurationsänderungen, die einen Funktionstest erfordern, auf einer Zertifizierungsstelle durchführen, möchte man erreichen, dass der Zertifizierungsstellen-Dienst zwar läuft, aber gleichzeitig verhindern, dass während dieser Phase automatisch Zertifikate von der Zertifizierungsstelle beantragt und durch diese ausgestellt werden.

Network Device Enrollment Service (NDES) auf eine andere Zertifizierungsstelle umziehen

Folgendes Szenario angenommen:

Es ist eine NDES-Instanz im Netzwerk installiert.
Die an NDES ausstellende Zertifizierungsstelle soll geändert werden.

Die offizielle Aussage hierzu ist, dass NDES in diesem Fall neu installiert und konfiguriert werden muss. Dies ist jedoch nicht erforderlich. Nachfolgend sind die notwendigen Schritte beschrieben.

Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"

Folgendes Szenario angenommen:

Man installiert ein neues Zertifizierungsstellen-Zertifikat auf der Zertifizierungsstelle, entweder weil die Zertifizierungsstelle neu installiert wurde, oder weil das Zertifizierungsstellen-Zertifikat erneuert wurde.
Bei der Installation erhält man folgende Fehlermeldung:

Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)

Remoteserver-Verwaltungstools für Active Directory Certificate Services auf Windows 10 ab Version 1809 installieren

Seit der Windows 10 Version 1809 sind die Remoteserver-Verwaltungstools nicht mehr als eigenständiger Download zu finden, sondern Teil von Features on Demand.

Kompaktieren (Defragmentieren) der Zertifizierungsstellen-Datenbank

Manchmal kommt es vor, dass die Datenbank der Zertifizierungsstelle extrem groß wird. Vielleicht sind unbemerkt sehr viele Zertifikatanforderungen eingetroffen und abgelehnt worden, vielleicht befinden sich auch viele Zertifikate in der Datenbank, die doppelt ausgestellt wurden. Nachdem die entsprechenden Einträge aus der Zertifizierungsstellen-Datenbank gelöscht wurden, muss (kann) der nun gewonnene Speicherplatz noch durch Kompaktierung dieser im Dateisystem des Servers freigegeben werden.

Einsicht in die Sperrlisten-Tabelle der Zertifizierungsstellen-Datenbank

In der Standardeinstellung speichert die Zertifizierungsstelle alle Sperrlisten, die noch nicht abgelaufen sind, in der Zertifizierungsstellen-Datenbank.

Unter Umständen, etwa durch ein fehlkonfiguriertes Script, werden auf diese Weise sehr viele Sperrlisten in der Datenbank abgespeichert, was zu einem entsprechenden Wachstum der Datenbank führen kann (etwa wenn große Sperrlisten sehr oft neu erstellt werden).