Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)".

Supposons le scénario suivant :

• Une autorité de certification est mise en œuvre sur le réseau.
• Le service d'autorité de certification ne démarre pas
• Lorsque l'on tente de démarrer le service d'autorité de certification, on obtient le message d'erreur suivant :

The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)

Eine entsprechende Fehlermeldung findet sich auch in der Ereignisanzeige (Ereignis Nr. 100) der Zertifizierungsstelle:

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate.  ADCS Labor Issuing CA 3 The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).

Cause

Connaissez-vous TameMyCerts? TameMyCerts est un add-on pour l'autorité de certification Microsoft (Active Directory Certificate Services). Il étend la fonction de l'autorité de certification et permet de Application de la réglementationIl s'agit d'un logiciel de gestion des certificats qui permet d'automatiser l'émission de certificats en toute sécurité. TameMyCerts est unique dans l'écosystème Microsoft, a déjà fait ses preuves dans d'innombrables entreprises du monde entier et est disponible sous une licence libre. Il peut téléchargé via GitHub et être utilisé gratuitement. Une maintenance professionnelle est également proposée.

Im vorliegenden Fall konnte die untergeordnete ausstellende Zertifizierungsstelle den Sperrstatus ihres aktuell verwendeten Zertifizierungsstellen-Zertifikats nicht überprüfen.

Dieser Fehler tritt nur beim aktuell verwendeten Zertifizierungsstellen-Zertifikat auf. Die Zertifizierungsstelle nutzt immer das letzte der installierten Zertifikate für die Ausstellung von Zertifikaten. Bei den vorigen Zertifizierungsstellen-Zertifikaten sollte dieser Fehler nicht auftreten.

Die Ursache kann in der Regel durch die Verwaltungskonsole für die Unternehmens-PKI (pkiview.msc) ermittelt werden.

In der Regel ist in einem solchen Fall die Sperrliste der übergeordneten Zertifizierungsstelle nicht abrufbar (offline, durch Firewall blockiert), oder sie ist abgelaufen (in beiden Fällen wird der Fehlercode CRYPT_E_REVOCATION_OFFLINE generiert).

Lösung: Sperrliste der übergeordneten Zertifizierungsstelle ausstellen und veröffentlichen

In der Regel kann das Problem durch Ausstellung und Veröffentlichung einer neuen Zertifikatsperrliste auf der übergeordneten Zertifizierungsstelle behoben werden.

Ebenso sollte sichergestellt sein, dass die Sperrliste auch tatsächlich abrufbar ist, d.h. es sollten unter Anderem die Namensauflösung und Firewall-Regeln kontrolliert werden.

Workaround: Sperrlistenprüfung für die Zertifizierungsstelle deaktivieren

Nicht in allen Fällen ist es möglich, die Verfügbarkeit der Sperrstatusinformationen rechtzeitig wiederherzustellen, da man beispielsweise von einer externen Entität abhängig ist.

En tant que Übergangslösung kann in solchen Fällen die Sperrlistenprüfung für die Zertifizierungsstelle deaktiviert werden. Hierzu muss das Flag CRLF_REVCHECK_IGNORE_OFFLINE auf der Zertifizierungsstelle gesetzt werden.

Die bevorzugte Lösung sollte immer sein, die Ursache für den fehlgeschlagenen Abruf der Sperrinformationen zu beseitigen.

Zunächst sollte mit folgendem Kommandozeilenbefehl die aktuelle Konfiguration eingesehen werden:

certutil -getreg CA\CRLFlags

Im obigen Beispiel ist das CRLF_REVCHECK_IGNORE_OFFLINE Flag eingerückt und in Klammern gesetzt, was bedeutet, dass es nicht aktiv ist. Es kann mit folgendem Kommandozeilenbefehl gesetzt werden:

certutil -setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

Il faut ensuite redémarrer le service d'autorité de certification.

Das Flag kann mit folgendem Befehl wieder entfernt werden:

certutil -setreg CA\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE

Gibt es eine Lösung für den Fall, das Zertifizierungsstellen-Zertifikat keine Sperrinformationen beinhaltet?

Auch in diesem Fall sollte bevorzugt geklärt werden, weshalb das Zertifizierungsstellen-Zertifikat keine Sperrinformationen beinhaltet und die zugrunde liegende Ursache behoben werden.

Unter Umständen erhält man vor der übergeordneten Zertifizierungsstelle ein Zertifikat, welches über keine Sperrinformationen – also keinen Verweis auf eine Zertifikatsperrliste/CRL oder einen Répondant en ligne (OCSP) verfügt.

Für diesen Fall kann das Flag CRLF_REVCHECK_IGNORE_NOREVCHECK auf die gleiche Weise aktiviert werden.

Liens complémentaires :

• Le service d'autorité de certification ne démarre pas et affiche le message d'erreur "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)".
• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)“
• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung „The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)“
• Welchen Einfluss hat eine nicht funktionierende Sperrliste eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?
• Quelle est l'influence de la révocation d'un certificat d'autorité de certification sur l'autorité de certification ?
• Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle

Sources externes

• Ignore Revocation Checking – The bane of my existence! (PKI Solutions, Inc.)