Unternehmens-PKI ist in erster Linie ein Überwachungstool. Daher ist dies oft die erste Stelle, an der Administratoren Probleme oder potenzielle Probleme bei der Public Key-Infrastruktur (Public Key Infrastructure, PKI) feststellen. Aus diesem Grund ist es wichtig zu verstehen, auf welche Weise zusätzliche Informationen zur Diagnose und Problembehandlung gefunden werden können, um das Problem schnell zu beheben, bevor es schwerwiegende Folgen nach sich zieht.

Wenn auf einem Server, der eine Zertifizierungsstelle (Certification Authority, CA) oder einen Online-Responder hostet, eine Warnung oder ein schwerwiegender Fehler angezeigt wird, sollten Sie die in der Ereignisanzeige des Computers aufgeführten Ereignisse überprüfen und nach zusätzlichen Informationen suchen, mit denen Sie das Problem diagnostizieren und beheben können.

Bei Problemen mit Zertifizierungsstellen, z. B. Verbindungsproblemen mit einer aktuellen Zertifikatsperrliste (Certificate Revocation List, CRL), können Sie das Problem mithilfe des Snap-Ins Zertifizierungsstelle lösen.

Bei Problemen mit dem Online-Responder können Sie mit dem Snap-In Online-Responder beispielsweise Aufgaben wie das Korrigieren von Konfigurationsproblemen bei Sperrungen ausführen.

Wenn von Unternehmens-PKI angezeigt wird, dass mindestens ein Zertifizierungsstellenzertifikat in Kürze abläuft, können Sie diese Zertifikate mithilfe des Snap-Ins Zertifikate erneut ausstellen oder erneuern.

Sie können die CryptoAPI 2.0-Diagnose aktivieren, um weitere Informationen zu vielen PKI-Problemen abzurufen.

Sie müssen als lokaler Administrator angemeldet sein, um dieses Verfahren ausführen zu können.

So aktivieren Sie die erweiterte CryptoAPI 2.0-Diagnose
  1. Klicken Sie auf Start, zeigen Sie auf Alle Programme und dann auf Verwaltung, und klicken Sie anschließend auf Ereignisanzeige.

  2. Erweitern Sie die Ordner Anwendungs- und Dienstprotokolle, Microsoft und Windows.

  3. Öffnen Sie den Ordner CAPI2, klicken Sie mit der rechten Maustaste auf In Betrieb, und klicken Sie dann auf Protokoll aktivieren.

  4. Wenn sich im Protokoll bereits Daten befinden, bevor Sie das Problem reproduziert haben, klicken Sie mit der rechten Maustaste auf In Betrieb, und klicken Sie auf Protokoll löschen. Dadurch werden nur die für das Problemszenario relevanten Daten im gespeicherten Protokoll erfasst.

  5. Öffnen Sie die Konsole des Snap-Ins Dienste, klicken Sie mit der rechten Maustaste auf Active Directory-Zertifikatdienste, und klicken Sie auf Neu starten.

  6. Speichern Sie die Protokolldatei nach dem Erfassen der Ereignisdaten, indem Sie mit der rechten Maustaste auf In Betrieb klicken, dann auf Ereignisse speichern unter klicken und anschließend einen Namen für die Ereignisdatei eingeben. Die Protokolldatei kann im EVTX-Format (kann mit der Ereignisanzeige geöffnet werden) oder im XML-Format gespeichert werden.

Hinweis

Die standardmäßige Maximalgröße für das Ereignisprotokoll beträgt 1 MB. Bei der CryptoAPI 2.0-Diagnose kann das Protokoll in kurzer Zeit stark an Größe zunehmen. Daher sollten Sie die maximale Protokollgröße auf mindestens 4 MB vergrößern, um wichtige Ereignisse zu erfassen. Klicken Sie zum Erhöhen der Maximalgröße mit der rechten Maustaste auf In Betrieb, und klicken Sie dann auf Eigenschaften. Erhöhen Sie in den Protokolleigenschaften die maximale Protokollgröße.

Weitere Informationen zur CryptoAPI 2.0-Diagnose finden Sie im Artikel zur Behandlung von PKI-Problemen unter Windows Vista (https://go.microsoft.com/fwlink/?LinkId=89570, möglicherweise in englischer Sprache).

Weitere Informationen (möglicherweise in englischer Sprache) zur Behandlung und Lösung von Problemen bei Zertifizierungsstellen, Zertifikatsperrlisten, Zertifikatzugriff und Online-Respondern finden Sie in der Problembehandlung zu den Active Directory-Zertifikatdiensten (https://go.microsoft.com/fwlink/?LinkId=89215).