Zertifizierungsstelle kann nicht zertifiziert werden

Unsere Domänenlandschaft besteht aus drei getrennten Domänen:

Domain1 = Alle internen Mitarbeiter

Domain2 = Zugriff für externe Partner

Domain3 = Zugriff für externe Mitarbeiter

Domain1 und Domain2 existieren schon seit geraumer Zeit, die Domain3 soll baldigst in Betrieb genommen werden.

Die Domänen-CA der Domain3 fordert ein Zertifikat bei unserer internen eigenständigen Zertifizierungsstelle an. Beim Installieren des Zertfikates kommt es zu folgenden Fehler und die neue CA kann nicht gestartet werden:

MS Active Directory Zertifikatdienste

Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE)

Die Überprüfung des Zertifikates mit "certutil -f urlfetch -verify CA_EA.cer"  gibt liefert folgendes Ergebnis:

Aussteller:
    CN=Firma ROOT CA
    OU=IT
    O=Firma
    C=AT
  Namenshash (sha1): 191b7c4e31d027a440731f9fd97331b8f3cfae34
  Namenshash (md5): 1fafa801486fbcc156dcb120cda6ef48
Antragsteller:
    CN=CA
    DC=Domain3
    DC=intern
  Namenshash (sha1): f55e9801edc998b9e3c05c5b50ce518ddf416d27
  Namenshash (md5): b8dfbd682e0de028bfa96ae130d80e3c
Zertifikatseriennummer: 1a6c131d000200000018

dwFlags = CA_VERIFY_FLAGS_ALLOW_UNTRUSTED_ROOT (0x1)
dwFlags = CA_VERIFY_FLAGS_IGNORE_OFFLINE (0x2)
dwFlags = CA_VERIFY_FLAGS_FULL_CHAIN_REVOCATION (0x8)
dwFlags = CA_VERIFY_FLAGS_CONSOLE_TRACE (0x20000000)
dwFlags = CA_VERIFY_FLAGS_DUMP_CHAIN (0x40000000)
ChainFlags = CERT_CHAIN_REVOCATION_CHECK_CHAIN (0x20000000)
HCCE_LOCAL_MACHINE
CERT_CHAIN_POLICY_BASE
-------- CERT_CHAIN_CONTEXT --------
ChainContext.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
ChainContext.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
ChainContext.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

SimpleChain.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
SimpleChain.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
SimpleChain.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)

CertContext[0][0]: dwInfoStatus=102 dwErrorStatus=1000040
  Issuer: CN=Firma ROOT CA, OU=IT, O=Firma, C=AT
  NotBefore: 13.09.2016 13:36
  NotAfter: 13.09.2031 13:46
  Subject: CN=CA, DC=Domain3, DC=intern
  Serial: 1a6c131d000200000018
  Template: SubCA
  a5e146075af05bd1bd6bb4de5ccda2b27f6d365f
  Element.dwInfoStatus = CERT_TRUST_HAS_KEY_MATCH_ISSUER (0x2)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  Element.dwErrorStatus = CERT_TRUST_REVOCATION_STATUS_UNKNOWN (0x40)
  Element.dwErrorStatus = CERT_TRUST_IS_OFFLINE_REVOCATION (0x1000000)
  ----------------  Zertifikat abrufen  ----------------
  Gescheitert "AIA" Zeit: 0
    Fehler beim Abrufen der URL: Es sind mehr Daten verfügbar. 0x800700Domain3 (WIN32/HTTP: 234 ERROR_MORE_DATA)
    ldap:///CN=Firma%20ROOT%20CA,CN=AIA,CN=Public%20Key%20Services,CN=Services,DC=UnavailableConfigDN?cACertificate?base?objectClass=certificationAuthority

  Überprüft "Zertifikat (0)" Zeit: 0
    [1.0] http://ca.Domain1.intern/certEnroll/Firma-Root-CA_Firma%20ROOT%20CA(2).crt

  Überprüft "Zertifikat (0)" Zeit: 0
    [2.0] http://ca.Domain2.intern/certEnroll/Firma-Root-CA_Firma%20ROOT%20CA(2).crt

  Überprüft "Zertifikat (0)" Zeit: 0
    [3.0] http://ca.Domain3.intern/CertEnroll/Firma-Root-CA_Firma%20ROOT%20CA(2).crt

  ----------------  Zertifikat abrufen  ----------------
  Überprüft "Basissperrliste (17)" Zeit: 0
    [0.0] http://ca.Domain1.intern/CertEnroll/Firma%20ROOT%20CA(2).crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [0.0.0] http://ca.Domain1.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [0.1.0] http://ca.Domain3.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [0.2.0] http://ca.Domain2.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Überprüft "Basissperrliste (17)" Zeit: 0
    [1.0] http://ca.Domain3.intern/CertEnroll/Firma%20ROOT%20CA(2).crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [1.0.0] http://ca.Domain1.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [1.1.0] http://ca.Domain3.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [1.2.0] http://ca.Domain2.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Überprüft "Basissperrliste (17)" Zeit: 0
    [2.0] http://ca.Domain2.intern/CertEnroll/Firma%20ROOT%20CA(2).crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [2.0.0] http://ca.Domain1.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [2.1.0] http://ca.Domain3.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    [2.2.0] http://ca.Domain2.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  ----------------  Basissperrliste veraltet  ----------------
  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    http://domain-ca.Domain1.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    http://ca.Domain1.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    http://dcsrv31.Domain2.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crt

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    http://ca.Domain2.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crt

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    http://ca.Domain3.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    http://ca21.Domain3.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crt

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Nicht gefunden (404). 0x80190194 (-2145844844 HTTP_E_STATUS_NOT_FOUND)
    http://ca21.Domain3.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Die Serververbindung konnte nicht hergestellt werden. 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
    http://10.100.2.39/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Die Serververbindung konnte nicht hergestellt werden. 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
    http://10.100.2.39/CertEnroll/Firma%20ROOT%20CA(2)+.crt

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Die Serververbindung konnte nicht hergestellt werden. 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
    http://Firma-root-ca.Domain1.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crl

  Gescheitert "CDP" Zeit: 0
    Fehler beim Abrufen der URL: Die Serververbindung konnte nicht hergestellt werden. 0x80072efd (INet: 12029 ERROR_INTERNET_CANNOT_CONNECT)
    http://Firma-root-ca.Domain1.intern/CertEnroll/Firma%20ROOT%20CA(2)+.crt

  ----------------  Zertifikat-OCSP  ----------------
  Keine URLs "Keine" Zeit: 0
  --------------------------------
    CRL 16:
    Issuer: CN=Firma ROOT CA, OU=IT, O=Firma, C=AT
    ThisUpdate: 19.07.2016 17:00
    NextUpdate: 19.08.2026 17:20
    689cf0c09c81e69e217767fa4272Domain31fc71e6f96

CertContext[0][1]: dwInfoStatus=10c dwErrorStatus=0
  Issuer: CN=Firma ROOT CA, OU=IT, O=Firma, C=AT
  NotBefore: 19.07.2016 15:55
  NotAfter: 19.07.2041 16:05
  Subject: CN=Firma ROOT CA, OU=IT, O=Firma, C=AT
  Serial: 52858c68e5d04dbd40917de1a381056b
  55774e2566edd8c28864ca2e6dc77bc8f7b84062
  Element.dwInfoStatus = CERT_TRUST_HAS_NAME_MATCH_ISSUER (0x4)
  Element.dwInfoStatus = CERT_TRUST_IS_SELF_SIGNED (0x8)
  Element.dwInfoStatus = CERT_TRUST_HAS_PREFERRED_ISSUER (0x100)
  ----------------  Zertifikat abrufen  ----------------
  Keine URLs "Keine" Zeit: 0
  ----------------  Zertifikat abrufen  ----------------
  Keine URLs "Keine" Zeit: 0
  ----------------  Zertifikat-OCSP  ----------------
  Keine URLs "Keine" Zeit: 0
  --------------------------------

Exclude lDomain3f cert:
  d6373ba616cfe90fbd99fb1d43211b4b54beb143
Full chain:
  40339b52f6940d20d46595b7f1a5592d7b6958ac
------------------------------------
Verfizierte Ausstellungsrichtlinien: Kein
Verfizierte Anwendungsrichtlinien: Alle
Zertifikat ist ein Zertifizierungsstellenzertifikat

FEHLER: Die Sperrstatusüberprüfung des untergeordneten Zertifikats hat Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war. 0x80092013 (-2146885613 CRYPT_E_REVOCATION_OFFLINE) zurückgegeben.
CertUtil: Die Sperrfunktion konnte die Sperrung nicht überprüfen, da der Sperrserver offline war.

CertUtil: -verify-Befehl wurde erfolgreich ausgeführt.

Bitte um Info, ob und wie dieses Problem lösbar ist.