Nachfolgend werden die Auswirkungen auf den Zertifizierungsstellen-Betrieb beschrieben, wenn einem der Stammzertifizierungsstellen-Zertifikaten, von welchen eines der Zertifizierungsstellen-Zertifikate abstammt, der Vertrauensstatus entzogen wird, oder dieser nie bestand.
Dieser Fall kann auch planmäßig eintreten, beispielsweise, wenn eine frühere Zertifizierungsstellen-Hierarchie außer Betrieb genommen werden soll.
Wenn die LDAP AIA Pfade noch erreichbar sind, stellt die Zertifizierungsstelle selbst den Vertrauensstatus wieder her. Die Zertifizierungsstelle wird hierbei das Ereignis Nr. 103 protokollieren:
Active Directory Certificate Services added the root certificate of certificate chain 0 to the downloaded Trusted Root Certification Authorities Enterprise store on the CA computer. This store will be updated from the Certification Authorities container in Active Directory the next time Group Policy is applied. To verify that the CA certificate is published correctly in Active Directory, run the following command: certutil -viewstore "ldap:///CN=ADCS Labor Issuing CA 3,CN=Certification Authorities,CN=Public Key Services,CN=Services,CN=Configuration,DC=intra,DC=adcslabor,DC=de?cACertificate?base?objectClass=certificationAuthority" (you must include the quotation marks when you run this command). If the root CA certificate is not present, use the Certificates console on the root CA computer to export the certificate to a file, and then run the following command to publish it to Active Directory: Certutil -dspublish %certificatefilename% Root.
Mögliche Szenarien
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Kann die Zertifizierungsstelle den Vertrauensstatus nicht selbständig wiederherstellen, muss unterschieden werden, welches der Zertifizierungsstellen-Zertifikate betroffen ist.
Fall 1: Das aktuelle Zertifizierungsstellen-Zertifikat ist betroffen
Die Zertifizierungsstelle nutzt immer das aktuellste, d.h. zuletzt installierte Zertifizierungsstellen-Zertifikat für die Ausstellung ihrer Zertifikate. Ist dieses Zertifikat betroffen, verweigert die Zertifizierungsstelle den Start des Dienstes, was aber unter Umständen umgangen werden kann. Nähere Informationen finden sich im Artikel "Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)"".
Die Zertifizierungsstelle wird das Ereignis Nr. 100 protokollieren:
Active Directory Certificate Services did not start: Could not load or verify the current CA certificate. ADCS Labor Issuing CA 3 A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING).
Fall 2: Ein früheres Zertifizierungsstellen-Zertifikat ist betroffen
Ist eines der früheren Zertifizierungsstellen-Zertifikate betroffen, startet der Zertifizierungsstellen-Dienst ganz normal. Auch die Wiederherstellung von archivierten Schlüsseln von Zertifikaten, die von dem nicht mehr vertrauten Zertifizierungsstellen-Zertifikat ausgestellt wurden, ist problemlos möglich.
Die Zertifizierungsstelle wird das Ereignis Nr. 42 protokollieren:
Could not build a certificate chain for CA certificate 2 for ADCS Labor Issuing CA 3. A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING).
Weiterführende Links:
- Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain processed, but terminated in a root certificate which is not trusted by the trust provider. 0x800b0109 (-2146762487 CERT_E_UNTRUSTEDROOT)"
- Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "A certificate chain could not be built to a trusted root authority. 0x800b010a (-2146762486 CERT_E_CHAINING)"
- Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "The certificate is revoked. 0x80092010 (-2146885616 CRYPT_E_REVOKED)"
- Der Zertifizierungsstellen-Dienst startet nicht und wirft die Fehlermeldung "0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)"
- Welchen Einfluss hat eine nicht funktionierende Sperrliste eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?
- Welchen Einfluss hat der Widerruf eines Zertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?
3 Gedanken zu „Welchen Einfluss hat der Entzug des Vertrauensstatus eines Stammzertifizierungsstellen-Zertifikats auf die Zertifizierungsstelle?“
Kommentare sind geschlossen.