Zertifikatsdienste zeigen Fehler an: Ereignis-ID: 5 Beschreibung: Zertifikatdienste konnten erforderliche Registrierungsinformationen nicht finden. Die Zertifikatdienste müssen möglicherweise neu installiert werden.
Ich habe die CA gemäß den Anweisungen manuell vom Server entfernt:http://support.microsoft.com/kb/889250-. Auf diesem Server befindet sich Exchange mit OWA und ein ISA 2004-Server. Jetzt haben einige Clients in einer Domäne Probleme, eine Verbindung zum Internet über SSL (https) herzustellen, da der IE ständig nach Benutzername und Passwort fragt, um eine Verbindung zur Domäne herzustellen, und das ISA-Protokoll „Verbindungsversuch fehlgeschlagen“ anzeigt.
Ich habe darüber nachgedacht:
Neuinstallation auf demselben Server Cert-Dienste mit gleichem oder anderem Namen
Installieren Sie AD Cert-Dienste auf einem anderen Server mit demselben oder einem anderen Namen
Was soll ich tun, um dieses Problem zu lösen? Ich stecke deswegen in großen Schwierigkeiten, also helfen Sie mir bitte.
Antwort1
Nun, Sie stecken mit Sicherheit in einer ziemlichen Patsche. Erstens installieren Sie KEINE CA auf einem Exchange-Server, DC oder einer Maschine, die andere Rollen hat. Das ist ein Rezept für eine Katastrophe. Die richtige Einrichtung einer CA besteht darin, dass Sie einen Server als Root auswählen (vorzugsweise einenOffline-Stammzertifizierungsstelle) und einen zweiten Server, der als Zwischenzertifizierungsstelle für andere Zwecke fungiert.
Sie tun dies auf diese Weise, damit Sie im Falle, dass der Zwischenzertifizierungsstelle etwas zustößt (wie es bei Ihnen der Fall war), diese von Ihrer Stammzertifizierungsstelle widerrufen und ohne allzu große Probleme eine neue erstellen können.
Nun haben Sie nicht angegeben, welchen Typ CA Sie bereitgestellt haben (eigenständig oder AD-integriert), aber aufgrund der von Ihnen beschriebenen Probleme gehe ich davon aus, dass es sich um eine AD-integrierte handelt.
Vorausgesetzt, das oben Gesagte ist richtig, ist Ihre Situation wie folgt: Sie haben eine Zertifizierungsstelle, die zur Ausstellung von Zertifikaten verwendet wurde und die jetzt deaktiviert ist. Diese Zertifizierungsstelle wird von allen Ihren Computern zur automatischen Zertifikatsregistrierung verwendet und Sie haben dieses Zertifikat weiterhin zur Authentifizierung verwendet.
Wenn Sie das System nun richtig eingerichtet haben, sollten Sie Folgendes getan haben: Widerrufen Sie die alte Zwischenzertifizierungsstelle auf der Stammzertifizierungsstelle, veröffentlichen Sie die neueCRL, installieren Sie eine andere Zwischenzertifizierungsstelle und stellen Sie die Zertifikate erneut aus. Möglicherweise müssen Sie auch die ADSI-Bearbeitung verwenden, um den LDAP-Eintrag des Registrierungsdienstes neu auszurichten.
In Ihrem Fall ist dies auf diese Weise nicht möglich. Sie müssen entweder versuchen, eineMigrationIhrer Zertifizierungsstelle (vorausgesetzt, Sie haben noch Zugriff auf den privaten Schlüssel, der mit Ihrer Root-CA verknüpft ist, oderkann es wiederherstellen) oder bei einer neuen Behörde von vorne beginnen.
Wenn Sie sich für die Einrichtung einer neuen Behörde entscheiden, sollten Sie wie folgt vorgehen:
- Wenn Sie nicht unterschiedliche Server für eine Stammzertifizierungsstelle und eine Zwischenzertifizierungsstelle verwenden können, sollten Sie zumindest einen Computer als Stammzertifizierungsstelle reservieren. Sie können auch eine Stammzertifizierungsstelle mit OpenSSL erstellen und diese CA zum Signieren einer AD-integrierten Zwischenzertifizierungsstelle verwenden. Beachten Sie jedoch, dass Sie für diese Stammzertifizierungsstelle ab und zu manuell neue CRLs generieren müssen (Sie können diese Stammzertifizierungsstelle jedoch auf demselben Computer installieren, vorausgesetzt, Sie schützen sie ordnungsgemäß). Ich würde einen neuen Servernamen verwenden, um sicherzustellen, dass Sie die neuen und alten Stammzertifizierungsstellen nicht vermischen (was zu Problemen und Verwirrung führen kann), aber Sie können denselben Namen wiederverwenden, wenn Sie möchten.
- Sobald Sie eine neue CA-Hierarchie haben, verteilen Sie die neue Root mithilfe von Gruppenrichtlinien an alle Rechner in Ihrer Domäne. Fügen Sie die Root zum Speicher „Vertrauenswürdige Root-Zertifizierungsstellen“ und die Zwischen-CA zum Speicher „Zwischenzertifizierungsstelle“ hinzu (der zweite Schritt ist hauptsächlich eine Vorsichtsmaßnahme).
- Erzwingen Sie lokal, dass die alte Zertifizierungsstelle nicht vertrauenswürdig ist. Verwenden Sie dazu Gruppenrichtlinien, um das öffentliche Zertifikat zum Speicher „Nicht vertrauenswürdige Zertifikate“ hinzuzufügen.
- Richten Sie die Registrierungsdienste auf Ihren neuen Server um. Navigieren Sie dazu mit adsiedit zu Konfiguration / Dienste / Public Key Services / Registrierungsdienste und entfernen Sie den Verweis auf den alten CA-Server (der neue sollte dort bereits registriert sein).
- Stellen Sie alle benötigten Zertifikate erneut aus. Wenn Sie die Zertifizierungsstelle richtig eingerichtet haben, wird jedes Zertifikat, das die automatische Registrierung verwendet, automatisch von der neuen Zertifizierungsstelle neu generiert und das alte wird verworfen. Sofern Sie nicht sicher sind, dass diese Zertifikate NICHT zur Verschlüsselung verwendet wurden, löschen Sie sie NICHT von den Client-Rechnern/-Konten.
(PS: Fühlen Sie sich nicht allzu schlecht, wenn Sie es nicht gleich richtig eingerichtet haben: Die Verwaltung von Zertifizierungsstellen ist schwierig und es ist extrem leicht, etwas falsch zu machen. MS hat es noch einfacher gemacht, es zu vermasseln, indem es die Installation von Zertifikatdiensten so einfach und schnell gemacht hat: Sie sind praktisch dazu verdammt, es beim ersten Mal falsch zu machen, wenn Sie nicht genau wissen, was Sie tun.)