Zertifikatdienste können nicht auf einem Computer gestartet werden, auf dem Windows Server ausgeführt wird

Dieser Artikel enthält eine Lösung für ein Problem, bei dem Zertifikatdienste(CS) möglicherweise nicht auf einem Computer gestartet werden, auf dem Windows Server ausgeführt wird.

Ursprüngliche KB-Nummer: 842210

Symptome

Auf einem Computer, auf dem Windows Server ausgeführt wird, wird die Zertifikatdienste möglicherweise nicht gestartet.

Darüber hinaus wird die folgende Fehlermeldung möglicherweise im Anwendungsprotokoll Ereignisanzeige protokolliert.

Die Active Directory-Zertifikatdienste wurden nicht gestartet: Das aktuelle Zertifizierungsstellenzertifikat konnte nicht geladen bzw. verifiziert werden. Contoso CA Keyset ist nicht 0x80090016 (-2146893802 NTE_BAD_KEYSET) vorhanden.

Ursache

Bevor die Zertifikatdienste gestartet werden, werden alle Schlüssel und Zertifikate aufgelistet, die an die Zertifizierungsstelle ausgestellt wurden, auch wenn die Schlüssel und die Zertifikate abgelaufen sind. Die Zertifikatdienste werden nicht gestartet, wenn eines dieser Zertifikate aus dem persönlichen Zertifikatspeicher des lokalen Computers entfernt wurde.

Lösung

Um dieses Problem zu beheben, überprüfen Sie, ob die Anzahl der Zertifikatfingerabdrücke in der Registrierung der Anzahl der Zertifikate entspricht, die an die Zertifizierungsstelle ausgestellt wurden. Wenn Zertifikate fehlen, importieren Sie die fehlenden Zertifikate in den persönlichen Zertifikatspeicher des lokalen Computers. Nachdem Sie die fehlenden Zertifikate importiert haben, verwenden Sie den certutil -repairstore Befehl, um die Verknüpfung zwischen den importierten Zertifikaten und dem zugehörigen privaten Schlüsselspeicher zu reparieren.

Führen Sie die folgenden Schritte aus, um dieses Problem zu beheben.

Schritt 1: Suchen nach fehlenden Zertifikaten

Wichtig

Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher müssen Sie sicherstellen, dass Sie diese Schritte sorgfältig ausführen. Für weiteren Schutz sichern Sie die Registrierung, bevor Sie sie ändern. Anschließend können Sie die Registrierung wiederherstellen, wenn ein Problem auftritt. Weitere Informationen finden Sie unter Sichern und Wiederherstellen der Registrierung in Windows.

Die Zertifikatfingerabdrücke geben alle Zertifikate an, die für diese Zertifizierungsstelle ausgestellt wurden. Jedes Mal, wenn ein Zertifikat erneuert wird, wird der CaCertHash-Liste in der Registrierung ein neuer Zertifikatfingerabdruck hinzugefügt. Die Anzahl der Einträge in dieser Liste muss der Anzahl der Zertifikate entsprechen, die an die Zertifizierungsstelle ausgestellt werden und die im lokalen Zertifikatspeicher des persönlichen Computers aufgeführt sind.

Führen Sie die folgenden Schritte aus, um nach fehlenden Zertifikaten zu suchen:

1. Wählen Sie "Start" aus, geben Sie "regedit" ein, und drücken Sie dann die EINGABETASTE.

2. Suchen Und wählen Sie dann den folgenden Unterschlüssel aus:

   HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\CertSvc\Configuration\<Your_Certificate_Authority_Name>

3. Doppelklicken Sie im rechten Bereich auf CaCertHash.

4. Notieren Sie sich die Anzahl der Zertifikatfingerabdrücke, die die Wertdatenliste enthält.

5. Starten Sie eine Eingabeaufforderung.

6. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   certutil -store
   

   Vergleichen Sie die Anzahl der Zertifikate, die im persönlichen Zertifikatspeicher des lokalen Computers aufgeführt sind, mit der Anzahl der Zertifikatfingerabdrücke, die im Registrierungseintrag "CaCertHash" aufgeführt sind. Wenn die Zahlen unterschiedlich sind, wechseln Sie zu Schritt 2: Importieren Sie die fehlenden Zertifikate. Wenn die Zahlen identisch sind, wechseln Sie zu Schritt 3: Reparieren der Verknüpfungen.

Schritt 2: Importieren der fehlenden Zertifikate

1. Wählen Sie "Start" aus, geben Sie "mmc" ein, und drücken Sie dann die EINGABETASTE.
2. Wählen Sie im Datei-Menü Snap-In hinzufügen/entfernen aus.
3. Wählen Sie in der Snap-In-Liste "Zertifikate" und dann "Hinzufügen" aus.
4. Wenn das Snap-In "Zertifikate" angezeigt wird, wählen Sie "Computerkonto" und dann "Nächstes>Ende" aus.
5. Wählen Sie OK aus. Das Zertifikatverzeichnis wird jetzt der Microsoft Management Console (MMC) hinzugefügt.
6. Erweitern Sie "Zertifikate persönlich", klicken Sie mit der rechten Maustaste auf "Zertifikate>", zeigen Sie auf "Alle Aufgaben", und wählen Sie dann "Importieren" aus.
7. Wählen Sie auf der Seite Willkommen die Option Weiter aus.
8. Geben Sie auf der Seite "Datei zum Importieren" den vollständigen Pfad der Zertifikatdatei ein, die Sie im Feld "Dateiname" importieren möchten, und wählen Sie dann "Weiter" aus. Wählen Sie stattdessen "Durchsuchen", suchen Sie nach der Datei, und wählen Sie dann "Weiter" aus.
9. Wenn es sich bei der Datei, die Sie importieren möchten, um eine Persönliche Information Exchange-PKCS #12 (*. PFX)-Datei werden Sie zur Eingabe des Kennworts aufgefordert. Geben Sie das Kennwort ein, wählen Sie die Option "Diesen Schlüssel als exportierbaren Import markieren" aus, und wählen Sie dann "Weiter" aus.
10. Wählen Sie auf der Seite "Zertifikatspeicher" die Option "Weiter" aus.
11. Wählen Sie auf der Seite "Zertifikatimport-Assistent abschließen" die Option "Fertig stellen" aus.

Notiz

Die Zertifizierungsstelle veröffentlicht ihre Zertifizierungsstellenzertifikate standardmäßig im Ordner "%systemroot%\System32\CertSvc\CertEnroll ". Möglicherweise finden Sie die fehlenden Zertifikate in diesem Ordner.

Schritt 3: Reparieren der Verknüpfungen

Führen Sie die folgenden Schritte aus, um die Links zu reparieren:

1. Öffnen Sie eine Eingabeaufforderung.

2. Geben Sie den folgenden Befehl ein, und drücken Sie die EINGABETASTE:

   cd %systemroot%\system32\certsrv\certenroll
   

3. Notieren Sie sich das Zertifikat im Ordner "certenroll ", der ähnlich wie folgt aussieht:

   <Your_Server>. <Your_Domain>.com_rootca.crt

4. Geben Sie die folgenden Befehle ein, und drücken Sie dann nach jedem Befehl die EINGABETASTE :

   certutil -addstore my %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
   

   certutil -dump %systemroot%\system32\certsrv\certenroll\Your_Server.Your_Domain.com_rootca.crt
   

   <Your_Server>.<Your_Domain>.com_rootca.crt ist der Name des Zertifikats im Ordner "certenroll ", den Sie in Schritt 3 angegeben haben.

5. In der Ausgabe des letzten Befehls am Ende sehen Sie eine Zeile, die den folgenden ähnelt:

   Key Id Hash(sha1): ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b

   Die Key Id Hash Daten sind spezifisch für Ihren Computer. Notieren Sie sich diese Zeile.

6. Geben Sie den folgenden Befehl einschließlich der Anführungszeichen ein, und drücken Sie dann die EINGABETASTE:

   %systemroot%\system32\certutil -repairstore my "<Key_Id_Hash_Data>"
   

   In diesem Befehl ist die Zeile, Key_Id_Hash_Data die Sie in Schritt 5 angegeben haben. Geben Sie beispielsweise Folgendes ein:
   certutil -repairstore my "ea c7 7d 7e e8 cd 84 9b e8 aa 71 6d f4 b7 e5 09 d9 b6 32 1b"

   Anschließend erhalten Sie die folgende Ausgabe:

   CertUtil: -repairstore command completed successfully.
   

7. Um die Zertifikate zu überprüfen, geben Sie die folgenden Befehle ein, und drücken Sie dann die EINGABETASTE:

   certutil -verifykeys
   

   Nachdem dieser Befehl ausgeführt wurde, erhalten Sie die folgende Ausgabe:

   CertUtil: -verifykeys command completed successfully.
   

Schritt 4: Starten des Zertifikatdienstediensts

1. Klicken Sie auf Start, zeigen Sie auf Verwaltung, und klicken Sie dann auf Dienste.
2. Klicken Sie mit der rechten Maustaste auf "Zertifikatdienste", und wählen Sie dann "Start" aus.

Weitere Informationen

Sie müssen die Zertifizierungsstelle außer Betrieb setzen und ersetzen, wenn eine der folgenden Bedingungen zutrifft:

• Sie können die fehlenden Zertifikate nicht finden.
• Die Zertifikate können nicht neu installiert werden.
• Der certutil -repairstore Befehl kann nicht abgeschlossen werden, da die privaten Schlüssel entfernt wurden.

Notiz

Wenn dieses Problem in der Stammzertifizierungsstelle der PKI-Hierarchie (Public Key Infrastructure) auftritt und wenn das Problem nicht repariert werden kann, müssen Sie die gesamte PKI-Hierarchie ersetzen. Weitere Informationen zum Entfernen der PKI-Hierarchie finden Sie unter "Außerbetriebnahme einer Windows Enterprise-Zertifizierungsstelle", und entfernen Sie alle zugehörigen Objekte.