Ungültiges Keyset in SBS 2008 - Wie Man

Ungültiges Keyset in SBS 2008

Als es an der Zeit war, unser SBS-Zertifikat zu erneuern, wusste ich nicht, wie einfach es in SBS 2008 ist. Stattdessen habe ich das Exchange-Zertifikat auf herkömmliche Weise über die Exchange-Befehlszeilenschnittstelle erneuert. Dies schien bis zu einem Neustart am folgenden Wochenende gut zu funktionieren. Der Server kam hoch und jeder bekam ungültige Zertifikatsprobleme. Was noch schlimmer ist, ich konnte nicht auf den Zertifikatdienst zugreifen, um das Problem zu beheben (z. B. das fehlerhafte Zertifikat entfernen), und die Hilfe zur Fehlerbehebung meines Netzwerks hat auch nicht geholfen, da der Zertifikatdienst beschädigt wurde. Stattdessen wurde diese Fehlermeldung angezeigt: Die Active Directory-Zertifikatdienste wurden nicht gestartet: Das aktuelle CA-Zertifikat konnte nicht geladen oder überprüft werden. ca-server Keyset ist nicht vorhanden 0x80090016 (-2146893802). Nach einem Wochenende voller Versuch und Irrtum habe ich das Problem behoben.

8 Schritte insgesamt

Schritt 1: Sichern Sie die Registrierungseinstellungen und die CA-Datenbank gemäß MS KB 298138

Dies ist nicht unbedingt erforderlich, aber es ist eine gute Vorsichtsmaßnahme. Ich persönlich konnte die CA-Datenbank nicht sichern, da der Zertifikatdienst nicht ausgeführt wurde.

(Link zum Artikel: http://support.microsoft.com/kb/298138)

Schritt 2: Deinstallieren Sie die ADCS-Rolle und starten Sie den Computer neu, wenn Sie dazu aufgefordert werden.

Gehen Sie zu Systemsteuerung | Programme und Funktionen, dann Windows-Funktionen ein- oder ausschalten. Klicken Sie unter Rollen mit der rechten Maustaste auf die Active Directory-Zertifikatdienste, und entfernen Sie die Rolle. Befolgen Sie die Anweisungen und starten Sie den Computer neu, wenn Sie dazu aufgefordert werden.

Schritt 3: Installieren Sie die ADCS-Rolle erneut, um die Webregistrierung von Certification Authority und Certification Authority zu aktivieren

Wählen Sie den vorhandenen privaten Schlüssel aus, wenn Sie dazu aufgefordert werden, oder erstellen Sie einen neuen.

Schritt 4: Stellen Sie die Registrierungseinstellungen und die CA-Datenbank gemäß MS KB 298138 wieder her

Dies gilt natürlich nur, wenn Sie die Sicherung in Schritt 1 durchgeführt haben.

(Link zum Artikel: http://support.microsoft.com/kb/298138)

Schritt 5: Stellen Sie sicher, dass "SYSTEM" und "Administratoren" Vollzugriff auf "C: ProgramData Application Data Microsoft Crypto RSA MachineKeys" erhalten.

Dies ist wahrscheinlich kein so großes Problem, da die meisten Administratorkonten dies standardmäßig haben, es ist jedoch etwas zu überprüfen.

Schritt 6: Öffnen Sie den IIS-Manager auf dem Ca-Server ...

Erweitern Sie die entsprechende IIS-Site (in der Regel Standard), und stellen Sie sicher, dass für das virtuelle Verzeichnis "CertEnroll" NICHT "SSL erforderlich" ausgewählt ist.

Schritt 7: Entfernen Sie die HTTPS-Bindung in IIS

Dies war ein frustrierender zusätzlicher Schritt, auf den ich gestoßen bin. Ich vermute, dass das Entfernen des Zertifikatdienstes dazu führte, dass der Standard-HTTPS-Port an die Standardwebsite gebunden wurde. Trotzdem hinderte es mich daran, neue Zertifikate zu generieren, da der Port verwendet wurde. Gehen Sie in den IIS-Manager, bearbeiten Sie die Bindungen für die Standardwebsite und entfernen Sie Port 443.

Wenn die Neuinstallation des Dienstes dies nicht bereits getan hat.

Schritt 8: Führen Sie "Mein Netzwerk reparieren" aus, um ein neues Zertifikat zu erstellen

Wenn das Problem in Schritt 7 aufgetreten ist und Sie bei der Neuinstallation des Zertifikatsdienstes keine neuen Zertifikate generieren konnten, führen Sie "Mein Netzwerk reparieren" aus, und folgen Sie den Anweisungen, und es sollte ein neues für Sie generiert werden.

Und das sollte es sein. Hoffe das hilft jemandem und rettet ihnen ein Wochenende!