Bei der Installation eines neuen Zertifizierungsstellenzertifikats erhält man die Fehlermeldung "The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)"

Folgendes Szenario angenommen:

• Man installiert ein neues Zertifizierungsstellen-Zertifikat auf der Zertifizierungsstelle, entweder weil die Zertifizierungsstelle neu installiert wurde, oder weil das Zertifizierungsstellen-Zertifikat erneuert wurde.
• Bei der Installation erhält man folgende Fehlermeldung:

Cannot verify certificate chain. Do you wish to ignore the error and continue? The revocation function was unable to check revocation for the certificate. 0x80092012 (-2146885614 CRYPT_E_NO_REVOCATION_CHECK)

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Diese Warnung wird erzeugt, wenn das neue Zertifizierungsstellen-Zertifikat keine Sperrlistenverteilpunkte (Certificate Revocation List Distribution Point, CDP) enthält. Diese sollten bei der Signatur des Zertifizierungsstellen-Zertifikats durch die übergeordnete Zertifizierungsstelle von dieser in das Zertifikat eingetragen werden.

Falls möglich sollte man also abbrechen und die übergeordnete Zertifizierungsstelle um Eintragung der CDP-PFade bitten. Sollte dies nicht möglich sein, kann man das CA-Zertifikat dennoch installieren – es kann dann jedoch nicht auf Sperrung überprüft werden.

Man kann die Meldung auch gänzlich unterdrücken, indem man folgenden Kommandozeilenbefehl auf der Zertifizierungsstelle ausführt:

certutil -setreg CA\CRLFlags +CRLF_REVCHECK_IGNORE_NOREVCHECK

Dies ist jedoch nicht zwingend erforderlich, da nur bei der Installation des Zertifizierungsstellen-Zertifikats einmalig eine Warnung generiert wird.

Weiterführende Links:

• Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The revocation function was unable to check revocation because the revocation server was offline. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"