Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "The revocation status of the authentication certificate could not be determined."

Folgendes Szenario angenommen:

• Ein Benutzer verfügt über ein Smartcard Logon Zertifikat und meldet sich mit diesem an der Active Directory Domäne an.
• Die Anmeldung schlägt fehl. Folgende Fehlermeldung wird dem Benutzer an seinem Computer zurückgegeben:

The revocation status of the authentication certificate could not be determined.

Im Deutschen lautet die Meldung:

Der Sperrstatus des für die Authentifizierung verwendeten Smartcard-Zertifikats konnte nicht ermittelt werden.

Ein entsprechendes Ereignis sollte auch auf dem authentisierenden Domänencontroller protokolliert werden, welcher die Anmeldung verarbeitet hat:

• Details zum Ereignis mit ID 21 der Quelle Microsoft-Windows-Kerberos-Key-Distribution-Center

Mögliche Ursachen

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

• Es sind keine Sperrstatusinformationen verfügbar, etwa weil der Server, auf dem sich die Sperrlistenverteilungspunkte befinden, vom authentisierenden Domänencontroller nicht erreichbar ist (offline oder durch eine Firewall blockiert), oder weil die Sperrlistenverteilungspunkte zwar erreichbar, die Sperrlisten jedoch abgelaufen sind.
• Das deterministische Good des Onlineresponders (OCSP) hat einen Status von "Unknown" an den Domänencontroller zurück geliefert.

Probleme mit den Sperrlistenverteilungspunkten (Verfügbarkeit und Aktualität der Sperrlisten) kann jedes Zertifikat in der zu prüfenden Zertifikatkette betreffen, beispielsweise auch dann wenn die Sperrliste einer Zertifizierungsstelle in der Kette abgelaufen ist (klassischerweise die Stammzertifizierungsstelle, deren Sperrlistenerneuerung versäumt wurde).

Wenn die Sperrliste der Stammzertifizierungsstelle abgelaufen sein sollte ist ein häufiger Folgefehler, dass untergeordnete Zertifizierungsstellen nicht mehr starten, da diese beim Dienststart die Gültigkeit ihres eigenen Zertifizierungsstellen-Zertifikats überprüfen.

Weiterführende Links:

• Die Anmeldung via Smartcard schlägt fehl mit Fehlermeldung "Signing in with a security device isn’t supported for your account."
• Deterministisches "Good" für den Onlineresponder (OCSP) konfigurieren
• Domänencontroller-Zertifikatvorlagen und Smartcard Anmeldung
• Benötigte Firewallregeln für Active Directory Certificate Services
• Grundlagen: Überprüfung des Sperrstatus von Zertifikaten
• Grundlagen Onlineresponder (Online Certificate Status Protocol, OCSP)