Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"

Folgendes Szenario angenommen:

• Es ist eine Zertifizierungsstelle im Netzwerk implementiert.
• Der Zertifizierungsstellen-Dienst startet nicht.
• Beim Versuch, den Zertifizierungsstellen-Dienst zu starten, erhält man folgende Fehlermeldung:

The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)

Eine entsprechende Fehlermeldung findet sich auch in der Ereignisanzeige (Ereignis Nr. 100) der Zertifizierungsstelle:

Active Directory Certificate Services did not start: Could not load or verify the current CA certificate.  ADCS Labor Issuing CA 3 The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE).

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Im vorliegenden Fall konnte die untergeordnete ausstellende Zertifizierungsstelle den Sperrstatus ihres aktuell verwendeten Zertifizierungsstellen-Zertifikats nicht überprüfen.

Dieser Fehler tritt nur beim aktuell verwendeten Zertifizierungsstellen-Zertifikat auf. Die Zertifizierungsstelle nutzt immer das letzte der installierten Zertifikate für die Ausstellung von Zertifikaten. Bei den vorigen Zertifizierungsstellen-Zertifikaten sollte dieser Fehler nicht auftreten.

Die Ursache kann in der Regel durch die Verwaltungskonsole für die Unternehmens-PKI (pkiview.msc) ermittelt werden.

In der Regel ist in einem solchen Fall die Sperrliste der übergeordneten Zertifizierungsstelle nicht abrufbar (offline, durch Firewall blockiert), oder sie ist abgelaufen (in beiden Fällen wird der Fehlercode CRYPT_E_REVOCATION_OFFLINE generiert).

Lösung: Sperrliste der übergeordneten Zertifizierungsstelle ausstellen und veröffentlichen

In der Regel kann das Problem durch Ausstellung und Veröffentlichung einer neuen Zertifikatsperrliste auf der übergeordneten Zertifizierungsstelle behoben werden.

Ebenso sollte sichergestellt sein, dass die Sperrliste auch tatsächlich abrufbar ist, d.h. es sollten unter Anderem die Namensauflösung und Firewall-Regeln kontrolliert werden.

Workaround: Sperrlistenprüfung für die Zertifizierungsstelle deaktivieren

Nicht in allen Fällen ist es möglich, die Verfügbarkeit der Sperrstatusinformationen rechtzeitig wiederherzustellen, da man beispielsweise von einer externen Entität abhängig ist.

Als Übergangslösung kann in solchen Fällen die Sperrlistenprüfung für die Zertifizierungsstelle deaktiviert werden. Hierzu muss das Flag CRLF_REVCHECK_IGNORE_OFFLINE auf der Zertifizierungsstelle gesetzt werden.

Die bevorzugte Lösung sollte immer sein, die Ursache für den fehlgeschlagenen Abruf der Sperrinformationen zu beseitigen.

Zunächst sollte mit folgendem Kommandozeilenbefehl die aktuelle Konfiguration eingesehen werden:

certutil -getreg CA\CRLFlags

Im obigen Beispiel ist das CRLF_REVCHECK_IGNORE_OFFLINE Flag eingerückt und in Klammern gesetzt, was bedeutet, dass es nicht aktiv ist. Es kann mit folgendem Kommandozeilenbefehl gesetzt werden:

certutil -setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_OFFLINE

Anschließend muss der Zertifizierungsstellen-Dienst neu gestartet werden.

Das Flag kann mit folgendem Befehl wieder entfernt werden:

certutil -setreg CA\CRLFlags -CRLF_REVCHECK_IGNORE_OFFLINE

Gibt es eine Lösung für den Fall, das Zertifizierungsstellen-Zertifikat keine Sperrinformationen beinhaltet?

Auch in diesem Fall sollte bevorzugt geklärt werden, weshalb das Zertifizierungsstellen-Zertifikat keine Sperrinformationen beinhaltet und die zugrunde liegende Ursache behoben werden.

Unter Umständen erhält man vor der übergeordneten Zertifizierungsstelle ein Zertifikat, welches über keine Sperrinformationen – also keinen Verweis auf eine Zertifikatsperrliste/CRL oder einen Onlineresponder (OCSP) verfügt.

Für diesen Fall kann das Flag CRLF_REVCHECK_IGNORE_NOREVCHECK auf die gleiche Weise aktiviert werden.

Weiterführende Links:

• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)"
• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)"
• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)"
• Welchen Einfluss hat eine nicht funktionierende Sperrliste eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?
• Welchen Einfluss hat der Widerruf eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?
• Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle

Externe Quellen

• Ignore Revocation Checking – The bane of my existence! (PKI Solutions, Inc.)