Es dient dazu, den Gesundheitszustand einer Windows-PKI zu überprüfen und Probleme wie abgelaufene Zertifikate, CRL-Veröffentlichungsfehler oder OCSP-Fehler schnell zu identifizieren.

Einsatz von pkiview und Alternativen

Wichtige Funktionen von pkiview.msc:

• CA-Status prüfen: Zeigt alle Zertifizierungsstellen in der Forest-Hierarchie an (Root-, Intermediate-, Issuing-CAs) und ihren Status.
• Zertifikatketten validieren: Überprüft, ob CA-Zertifikate gültig sind und ob CRLs/OCSP verfügbar sind.
• CRL (Certificate Revocation List) Monitoring: Zeigt an, ob CRLs korrekt veröffentlicht wurden und ob sie bald ablaufen.
• AIA & CDP Distribution Point Checks: Prüft die Erreichbarkeit von CRL- und AIA-Pfaden (HTTP, LDAP, File).
• Alarm bei Problemen: Markiert fehlerhafte Stellen mit Warnsymbolen (gelb/rot).

Direkt über „Ausführen“ oder PowerShell starten:

pkiview.msc

Wichtige Befehle / Alternativen in PowerShell:

#Alle Enterprise CAs im Forest anzeigen
Get-ADObject -LDAPFilter "(objectClass=pKIEnrollmentService)" -SearchBase "CN=Configuration,DC=deinforest,DC=local"

#CA Zertifikate abrufen
certutil -viewstore CA

#CRL prüfen (lokale CRL)
certutil -dump "PfadZurCRL.crl"

#Zertifikatketten überprüfen
certutil -verify "PfadZuZertifikat.cer"

#OCSP Responder prüfen
certutil -urlfetch -verify "PfadZuZertifikat.cer"

Typische Fehler, die pkiview.msc anzeigt:

Der Beitrag Windows PKI-Fehleranalyse mit pkiview.msc erschien zuerst auf Maximilian Krieg.