Problem:
Beim Versuch, die Softwareverteilung im SFirm-Wartungscenter aufzurufen, erscheint folgende Fehlermeldung:
Erzeugung des Installations-Tokens. Es ist ein Fehler aufgetreten: Rootzertifikat der SFirm-Installation konnte nicht entschlüsselt werden.
Ursache:
Der Installationskey wurde gewechselt (unabhängig davon, ob der Installationscode noch der gleiche ist), wodurch das Rootzertifikat nicht mehr entschlüsselt werden kann. Dies ist an der Fehlermeldung 'Rootzertifikat der SFirm-Installation konnte nicht entschlüsselt werden' erkennbar.
Lösungsschritte:
1. SFirm mit Administratorrechten starten
-
Auf dem Server SFirm per "Ausführen als Administrator" starten.
- Folgenden Testcode ausführen: BACKINGSERVICE.CONNECT
(Um den Testcode auszuführen, öffnen Sie die SFirm-Einstellungen und navigieren Sie im Menü
'Wartung/Support'. Wählen Sie dort die Option 'Testcode jetzt eingeben'.)
- Wenn der Testcode erfolgreich war, im Ribbon die Funktion "Wartungscenter" / "Installation & Stationen" / "Softwareverteilung" aufrufen. Ggf. Installationscode eingeben.
- Unabhängig davon, ob jetzt die Kommandozeile für die Softwareverteilung oder eine Fehlermeldung angezeigt wird, kann das Fenster geschlossen werden. SFirm nicht beenden!
2. Alte Zertifikate und Schlüssel entfernen
Im Verzeichnis Basis\System folgende Dateien löschen
- SFirmRootCertificateForTLS
- SFirmRootCertificateForTLSP
- InstallationKey
- InstSuppKey
- Über das Windows-Startmenü 'Computerzertifikate verwalten' aufrufen.
- Unter 'Eigene Zertifikate' das Zertifikat mit folgenden Eigenschaften suchen:
- Ausgestellt für: <Rechnername des Servers>
- Ausgestellt von: "SFirmRootCertificateForTLSCN"
- Das gefundene Zertifikat löschen.
3. Neue Zertifikate generieren
- In SFirm einen zweiten Testcode ausführen: SQLTLS.CREATEFILES
- Im Wartungscenter-Ribbon erneut die Funktion Softwareverteilung aufrufen.
- Aus der angezeigten Kommandozeile den Wert hinter INSTALLATIONTOKEN ohne die Anführungszeichen kopieren.
- Einen dritten Testcode ausführen: SQLTLS.INSTALLROOTCERTIFICATE.BYTOKEN=<Installationstoken>
<Installationstoken> dabei durch den zuvor kopierten Wert ersetzen. Nach dem Ausführen diesen kompletten Testcode für später in einer Textdatei ablegen. - Einen vierten Testcode ausführen: DUTY.SQLTLSMAINTENANCE.SHOW=1
- Es sollte jetzt die Aufgabe 'Wartung der Datenbank erforderlich' angezeigt werden. In der Aufgabe den Link 'Jetzt die Datenbankwartung starten' anklicken. Dabei wird eine Datensicherung gestartet. Diese kann nicht umgangen werden.
- Falls die Wartung nicht mit einer Erfolgsmeldung endet und die Aufgabe verschwindet, bitte wieder bei Schritt 'Einen vierten Testcode ausführen:DUTY.SQLTLSMAINTENANCE.SHOW=1' beginnen.
4. TLS-Konfiguration überprüfen
- Nach der erfolgreichen Ausführung der Datenbankwartung den Konfigbericht aufrufen.
- Den Abschnitt "TLS-Verschlüsselung" prüfen. Der sollte nun so aussehen, wobei an den xxxxx… und yyyyy…-Stellen jeweils die gleichen Werte stehen müssen.
Informationen über TLS-Verschlüsselung verfügbar: JA
TLS-Verschlüsselung ist Pflicht: JA
Dieser PC stellt den SQL-Server zur Verfügung: JA
TLS-Zertifikat vorhanden: JA
TLS-Zertifikat der Instanz zugewiesen: JA
Seriennummer des Zertifikats: aaaaaaaaaaaaaaaaaaaaaaaaaa
Hash des Zertifikats: bbbbbbbbbbbbbbbbbbbbbbb
Seriennummer des signierenden Zertifikats: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Signierendes Root-Zertifikat vorhanden: JA
Seriennummer des signierenden Zertifikats: xxxxxxxxxxxxxxxxxxxxxxxxxxxxx
Hash des Root-Zertifikats im Zertifikatsspeicher: yyyyyyyyyyyyyyyyyyyyyyyyyyyyy
Hash des Root-Zertifikats im Backup D: yyyyyyyyyyyyyyyyyyyyyyyyyyyyy
Hash des Root-Zertifikats im Backup R: yyyyyyyyyyyyyyyyyyyyyyyyyyyyy
Weitere Zertifikate liegen vor: NEIN
IKey existiert: JA
ISKey existiert: JA
RootC existiert: JA
RootCP existiert: JA
InstallationsCode Datenbank existiert: JA
InstallationsCode Registry existiert: JA
InstallationsKey Registry existiert: JA
Wenn der Konfigbericht ok ist, ist TLS auf dem Server nun wieder konsistent.
5. Root-Zertifikat auf Arbeitsplätzen aktualisieren
-
Auf allen betroffenen Arbeitsplätzen das Root-Zertifikat aktualisieren:
-
Option 1: SFirm-Reparaturinstallation durchführen.
-
Option 2: SFirm per "Ausführen als Administrator" starten und den gesicherten Testcode aus Schritt 3 ausführen.
-
Fazit
Nach diesen Schritten sollte die Softwareverteilung im SFirm-Wartungscenter wieder fehlerfrei funktionieren. Falls weiterhin Probleme auftreten, sollte überprüft werden, ob alle Zertifikate korrekt gelöscht und neu erstellt wurden.