AD CS- und PKI-Fehler in Windows verstehen: Was bedeuten Zertifikats-, CRL- und OCSP-Meldungen konkret?
Zertifikatsdienste und Public-Key-Infrastrukturen sind in Windows- und Microsoft-Landschaften eine zentrale Abhängigkeit für Authentifizierung, Verschlüsselung und Integrität – von TLS in Web- und Reverse-Proxy-Szenarien über EAP-TLS in WLAN/VPN bis zu LDAPS, S/MIME, IPsec, RDP-Gateway oder Zertifikatsanmeldung. In der Praxis treten Störungen jedoch selten als „PKI-Problem“ in Erscheinung: Ein abgelaufenes Zertifikat zeigt sich als TLS-Handshake-Abbruch, eine unvollständige Vertrauenskette als Anmeldefehler, eine nicht erreichbare CRL als Dienststartproblem oder eine falsche Vorlage als kryptische Ablehnung im Enrollment. Gleichzeitig hängen AD CS und die Validierungskette eng an Active Directory (Publikation von CA-Objekten, Template- und Berechtigungsmodell), DNS (AIA/CDP/OCSP-URLs, Service-Lokalisierung), Zeitdienst (Gültigkeitsprüfung, Kerberos) und Sicherheitskontexten (Machine vs. User, Dienstkonten, Delegation, UAC, KSP/CSP-Bindings). Wer Zertifikats- und PKI-Fehlermeldungen belastbar interpretieren will, muss Wortlaut und Codes präzise der betroffenen Komponente zuordnen, typische Ursachen anhand von Statusindikatoren erkennen und verstehen, warum identische Root-Causes in unterschiedlichen Produkten mit unterschiedlichen Fehlermasken auftauchen.