Hinweis
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, sich anzumelden oder das Verzeichnis zu wechseln.
Für den Zugriff auf diese Seite ist eine Autorisierung erforderlich. Sie können versuchen, das Verzeichnis zu wechseln.
Dieser Artikel enthält eine Lösung zum Beheben eines Problems, bei dem das Erneuern des Exchange-Registrierungs-Agent-Zertifikats (Offlineanforderung) mithilfe von NDES fehlschlägt.
Gilt für: Windows Server 2008 R2 Service Pack 1
Ursprüngliche KB-Nummer: 2712186
Symptome
Sie erhalten die Fehlermeldung "Status: nicht verfügbar", wenn Sie versuchen, das von NDES verwendete Zertifikat "Exchange-Registrierungs-Agent (Offlineanforderung)" über die Computerzertifikatspeicherkonsole in MMC zu verlängern.
Ursache
Der Netzwerkgeräteregistrierungsdienst (Network Device Enrollment Service, NDES) fordert zwei Zertifikate gemäß den folgenden beiden Zertifikatvorlagen an, die mit dem "Beabsichtigten Zweck" (Enhanced Key Usages) konfiguriert sind, der auf "Zertifikatanforderungs-Agent" festgelegt ist:
- CEP-Verschlüsselung.
- Exchange-Registrierungs-Agent (Offlineanforderung).
Wenn Sie den NDES-Dienst auf einem Windows Server 2008-Server installieren, müssen Sie einen Domänenbenutzer bereitstellen, den der NDES zum Autorisieren von Zertifikatanforderungen verwendet. Es gibt also unterschiedliche Sicherheitskontexte zu berücksichtigen: den Installationskontext (der den NDES installiert) und den Dienstkontext (der Domänenbenutzer, der während der Installation bereitgestellt wird und unter dem der NDES später ausgeführt wird). Das Registrierungs-Agent-Zertifikat wird während der Installation und unter dem Installationskontext registriert, wird jedoch später vom NDES im Dienstkontext geladen. Aus dem obigen Grund muss das Registrierungs-Agent-Zertifikat (und das CEP-Verschlüsselungszertifikat) im gemeinsamen Speicher gespeichert werden, auf den dieser Kontext zugreifen kann, und der Zertifikatspeicher des Computers wird ausgewählt.
Da der "Antragstellertyp" der Zertifikatvorlage "Exchange-Registrierungs-Agent (Offlineanforderung)" jedoch auf "Benutzer" festgelegt ist, können wir die Zertifikatvorlage "Exchange-Registrierungs-Agent (Offlineanforderung)" in der MMC-Konsole (Computerzertifikatspeicher) aufgrund eines nicht übereinstimmenden Betrefftyps nicht verlängern. Der Fehler "Status: nicht verfügbar" wird in dieser Situation zurückgegeben.
Hinweis: Dieses Problem tritt nicht auf, wenn Sie versuchen, die Zertifikatvorlage "CEP-Verschlüsselung" zu verlängern, da der Betrefftyp auf "Computer oder anderes Gerät" festgelegt ist. Daher kann die Erneuerung dieses Zertifikats erfolgreich sein, sofern Sie über ausreichende Berechtigungen für das System und die Zertifikatvorlage verfügen.
Lösung
Verwenden Sie das tool certreq.exe, um das Exchange-Registrierungs-Agent-Zertifikat (Offlineanforderung) mit den folgenden Schritten zu verlängern:
Erstellen Sie eine Datei mit dem Namen "Request.inf" mit dem folgenden Inhalt:
[Version]
Signature="$Windows NT$"
[NewRequest]
RenewalCert="<Certificate Hash>"
MachineKeySet=TRUENotiz
Die INF-Datei enthält Eingabeoptionen, die die Zertifikatanforderungsparameter definieren. In der obigen INF-Datei wird dem Befehlszeilentool certreq.exe mitgeteilt, das Zertifikat mit dem angegebenen Zertifikathash zu erneuern. Sie können den Zertifikathash des Exchange-Registrierungs-Agents (Offlineanforderung) abrufen, indem Sie den Wert der Erweiterung "t h umbprint " des Zertifikats kopieren, die von der Registerkarte "Details" des Zertifikats abgerufen wurde. Wenn der Fingerabdruck des Zertifikats beispielsweise "5 3 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55" lautet, müssen wir den Inhalt in den folgenden Zeilen bearbeiten:
[Version]
Signature="$Windows NT$"
[NewRequest]
RenewalCert="53 60 8f 10 49 1d 50 bf a2 9f 06 17 96 8a 93 05 13 cc b9 55"
MachineKeySet=TRUENotiz
MachineKeySet wird auf "True" festgelegt, sodass das Zertifikat und sein privater Schlüssel im Computerzertifikatspeicher gespeichert werden.
Notiz
Informationen zum Öffnen des Zertifikatspeichers des Computers finden Sie im folgenden Technet-Artikel: Hinzufügen des Zertifikat-Snap-Ins zu einem MMC Zum Hinzufügen des Zertifikat-Snap-Ins zu einem MMC
Führen Sie die folgenden drei Befehle aus, um das alte Registrierungs-Agent-Zertifikat zu verlängern:
CertReq.exe -New Request.inf Certnew.req CertReq.exe -Submit Certnew.req Certnew.cer CertReq.exe -Accept Certnew.cerNotiz
- Sie benötigen Administratorberechtigungen und Zertifikatregistrierungsberechtigungen, um die oben genannten Aktionen auszuführen. Wenn Ihre Registrierungsanforderung auf die Genehmigung des CA-Managers warten muss, wenden Sie sich an Den Ca Manager, um die Anforderung zu genehmigen. Oder stellen Sie die Anforderungsdatei bereit, die im ersten Befehl an Ihren Zertifizierungsstelle-Manager generiert wurde, und bitten Sie um ein Zertifikat, damit wir den dritten Befehl zum Installieren des Zertifikats verwenden können.
- Die vorstehenden Schritte gelten für die Situation, in der die Standardzertifikatvorlage für NDES verwendet wird. Wenn NDES für die Verwendung bestimmter Vorlagen konfiguriert ist, ändern Sie den Inhalt der Inf-Datei entsprechend. Weitere Informationen zur Syntax der Anforderungsdatei finden Sie im folgenden Artikel:
Anhang 3: Certreq.exe Syntax - Wenn Sie den ersten Befehl oben ausführen, wird ein Dialogfeld angezeigt, um das Zertifikat zu bestätigen, das erneuert werden muss. Stellen Sie sicher, dass das alte Registrierungs-Agent-Zertifikat ausgewählt ist, und klicken Sie auf "OK".
- Beim zweiten Befehl wird ein weiteres Dialogfeld angezeigt, in dem wir den Zertifizierungsstellenserver für die Ausstellung des erneuerten Registrierungs-Agent-Zertifikats auswählen können. Wählen Sie die richtige Zertifizierungsstelle aus, und klicken Sie auf "OK".