Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)"

Folgendes Szenario angenommen:

• Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
• Der Zertifizierungsstellen-Dienst startet nicht.
• Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:

A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)

Ein entsprechendes Ereignis mit Nr. 100 findet sich auch in der Ereignisanzeige der Zertifizierungsstelle:

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING).

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Dieser Fehler tritt nur beim aktuell verwendeten Zertifizierungsstellen-Zertifikat auf. Die Zertifizierungsstelle nutzt immer das letzte der installierten Zertifikate für die Ausstellung von Zertifikaten. Bei den vorigen Zertifizierungsstellen-Zertifikaten sollte dieser Fehler nicht auftreten.

Die Zertifizierungsstelle kann die Vertrauenskette zum Zertifizierungsstellen-Zertifikat nicht herstellen.

Lösung: Vertrauensstatus herstellen

Nebst der Zertifizierungsstelle selbst müssen natürlich auch alle anderen Teilnehmer den Zertifikaten vertrauen. Daher ist es durchaus sinnvoll, die Zertifikate nicht nur in den lokalen Zertifikatspeicher der Zertifizierungsstelle zu importieren, sondern sie z.B. über Gruppenrichtlinien zentral in der gesamten Active Directory Gesamtstruktur zu verteilen.

Damit der Zertifizierungsstellen-Dienst gestartet werden kann, muss die Zertifikatkette, d.h. alle Zertifikate bis hin zur Stammzertifizierungsstelle im Computer-Zertifikatspeicher des Zertifizierungsstellen-Computers installiert sein. Dies kann über die Zertifikate-Managementkonsole für das lokale Computerkonto (certlm.msc) erfolgen.

• Stammzertifizierungsstellen-Zertifikate müssen in den "Trusted Root Certification Authorities" Zertifikatspeicher des Computerkontos
• Zwischenzertifizierungsstellen-Zertifikate müssen in den "Intermediate Certification Authorities" Zertifikatspeicher des Computerkontos

Weiterführende Links:

• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)"
• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"
• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)"
• Welchen Einfluss hat eine nicht funktionierende Sperrliste eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?
• Welchen Einfluss hat der Widerruf eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?
• Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle