Was tut man damit?
25.04.2022, 14:00 Uhr
Warnungen zu abgelaufenen Zertifikaten in der Ereignisanzeige
Beim Begutachten der Windows-Protokolle des Typs «Anwendung» fallen Ihnen vielleicht Warn-Einträge vom «CertificateServicesClient-AutoEnrollment» auf, die über abgelaufene Zertifikate informieren. Was hat es damit auf sich?
Vielleicht sind Sie durch diesen Artikel neugierig geworden, welche Einträge sich in Ihrer Windows-Ereignisanzeige denn so tummeln. Unter Windows-Protokolle/Anwendung könnten Sie auch auf Ereignisse des Typs «Warnung» stossen, die sich über abgelaufene Zertifikate beklagen. Die Meldungen stammen von «CertificateServicesClient-AutoEnrollment», tragen die Ereignis-ID 64 und lauten ungefähr so: «Zertifikat für lokales System mit Fingerabdruck ... wird bald ungültig oder ist bereits ungültig».
Manchmal sinds gleich mehrere Zertifikate, die abgelaufen sind. Ich empfehle folgendes Vorgehen, das ich in einem Windows 11 Pro ausprobiert habe. Es dürfte exakt gleich auch unter Windows 10 funktionieren.
Welches Zertifikat ist es?
Öffnen Sie den Notepad-Texteditor. In den Ereignisdetails lässt sich der angegebene Fingerprint-String per Maus markieren und mit Ctrl+C (Strg+C) kopieren. Kopieren Sie die Fingerprints jedes der abgelaufenen Zertifikate in Ihre Notepad-Datei hinein. In unserem Beispiel sind es acht. Für die spätere Suche müssen Sie die Leerzeichen aus den Fingerprints entfernen.
Klicken Sie auf Start und tippen Sie Zertifikat ein. Sie finden sowohl Computerzertifikate verwalten als auch Benutzerzertifikate verwalten. Öffnen Sie sicherheitshalber beide nebeneinander. In den Fenstertiteln steht nun im einen Fenster «certmgr - Zertifikate - Aktueller Benutzer», im anderen «certlm - Zertifikate - Lokaler Computer».
Klicken Sie z. B. im Fenster für den aktuellen Benutzer in der linken Spalte zuoberst mit rechts auf Zertifikate - Aktueller Benutzer und verwenden Sie Zertifikate suchen.
Hier wichtig: Lassen Sie im Suchdialog Alle Zertifikatspeicher aktiv und schalten Sie unten auf SHA1-Hash um. Fügen Sie den Fingerprint (oder einen Teil davon) des zu suchenden Zertifikats ein, ohne die Leerzeichen! Klicken Sie auf Suchen. Wurden Sie hier nicht fündig, wiederholen Sie die Suche bei den Computerzertfikaten – auch hier natürlich bei «Suchen im Feld» auf SHA1-Hash umschalten. Meist wird genau ein einziges Zertifikat gefunden.
Doppelklicken Sie das Zertifikat, und prüfen Sie, ob und wann es abgelaufen ist. Interessanter ist jedoch die Information, für wen es ausgestellt worden ist. Das kann Ihnen einen Hinweis darüber geben, zu welcher Anwendung es gehört und ob Sie es noch brauchen (in meinem Beispiel war es eine nicht mehr benötigte PowerAutomate-Anwendung).
Empfehlung: Gehört ein abgelaufenes Zertifikat zu einer Anwendung, die Sie nicht mehr brauchen, deinstallieren Sie diese. Benötigen Sie die Anwendung noch, liegt es bei deren Hersteller, die Zertifikate über ein Update zu aktualisieren. Die bestehenden Ereignisse bleiben dabei natürlich in der Ereignisanzeige vorhanden, denn diese haben ja stattgefunden. Ob es geklappt hat, merken Sie deshalb nicht etwa daran, dass die bisherigen Ereigniseinträge verschwinden (tun sie logischerweise nicht), aber es sollten nun keine neuen Einträge mehr entstehen.
Oder löschen? Aber was, wenn sich ein abgelaufenes Zertifikat weder durch Deinstallation einer Software noch durch deren Update entfernen lässt? Lassen Sie es trotzdem da, wo es ist. In den meisten Fällen können Sie die Meldung schlicht ignorieren.
Falls die Ereigniseinträge Sie dennoch zu sehr stören sollten, können Sie das betroffene Zertifikat exportieren und anschliessend löschen. Das Löschen funktioniert, aber wir können keine Garantie dafür übernehmen, dass es sich nicht doch an irgendeiner Stelle im System negativ auswirkt. Ein abgelaufenes Zertifikat «funktioniert» ohnehin nicht mehr, darum können Sie es mit den folgenden Schritten versuchen: Klicken Sie mit rechts aufs Zertifikat und wählen Sie via Alle Aufgaben den Befehl Exportieren. Klicken Sie auf Weiter. Wählen Sie das Format DER-codiert-binär X.509 (.CER) und klicken Sie auf Weiter. Legen Sie z. B. in Ihrem Dokumente-Ordner einen neuen Ordner mit einem Namen wie BackupAlteZertifikate an. Speichern Sie das Zertifikat (am besten mit der Bezeichnung von «Ausgestellt für») dort ab. Nun können Sie es dort, von wo Sie es exportiert haben, löschen – wenn es denn unbedingt sein muss.