IMSS IDSE Fehler 0x8009030D: Digitales Zertifikat reparieren

Wenn das IMSS IDSE-Portal beim Erneuern oder Installieren des digitalen Zertifikats den Fehler 0x8009030D anzeigt, lehnt Windows die Anmeldeinformationen des Sicherheitsanbieters ab, die mit Ihrem Zertifikat verbunden sind. Dieser Leitfaden erklärt die Ursachen, wie der Windows-Zertifikatsspeicher bereinigt wird und wie die vom IMSS ausgestellte .cer-Datei korrekt neu importiert wird.

Der Fehler

Der Fehler 0x8009030D erscheint mit der vollständigen Meldung:

Der Vorgang ist fehlgeschlagen. Die angegebenen Anmeldeinformationen waren unvollständig und konnten nicht überprüft werden.

Oder im internen Windows-Fehlerformat:

SEC_E_NO_CREDENTIALS (0x8009030D) — The credentials supplied were not complete and could not be verified.

Er tritt typischerweise in zwei Situationen auf:

1. Beim Versuch, das digitale IDSE-Zertifikat im IMSS-Portal zu erneuern.
2. Beim Versuch, sich im IDSE-Portal zu authentifizieren, nachdem ein neues Zertifikat installiert wurde oder nach einer Windows-Neuinstallation.

Es ist wichtig, diesen Fehler vom 0x8009030D-Fehler in Hyper-V zu unterscheiden, der denselben Code hat, aber eine völlig andere Ursache (Kerberos-Anmeldeinformationsprobleme bei der Live-Migration von virtuellen Maschinen). Im IDSE-Kontext verweist dieser Fehler immer auf den Windows-Zertifikatsspeicher.

Ursache des Problems

Windows verwaltet digitale Zertifikate über die CryptoAPI und den Zertifikatsspeicher (Certificate Store). Wenn das IDSE-Portal das Unternehmensidentitätszertifikat anfordert, sucht Windows im persönlichen Speicher des aktuellen Benutzers. Der Fehler 0x8009030D wird generiert, wenn:

• Das Zertifikat ist abgelaufen. Das alte Zertifikat wurde nicht entfernt und Windows findet es zuerst. Die Validierung schlägt fehl, wenn versucht wird, es zu verwenden.
• Der Speichereintrag ist beschädigt. Dies kann nach Windows-Updates, Benutzerprofilmigrationen oder Systemwiederherstellungen auftreten.
• Das Zertifikat wurde unter einem anderen Windows-Benutzerkonto installiert. Das IDSE-Portal öffnet sich unter Benutzer A, aber das Zertifikat befindet sich im Speicher von Benutzer B oder im Maschinenspeicher (Local Machine) anstatt im Speicher des aktuellen Benutzers.
• Das SAT-Stammzertifikat fehlt. Wenn die Zertifikatskette unvollständig ist, lehnt Windows das Zertifikat ab, auch wenn die .cer-Datei korrekt formatiert ist.
• Das Zertifikat wurde ohne privaten Schlüssel importiert. Wenn der IMSS-Erneuerungsprozess das Schlüsselpaar nicht korrekt generiert hat oder nur die .cer ohne den entsprechenden .key importiert wurde, kann der Sicherheitsanbieter die Authentifizierung nicht abschließen.

Schritt-für-Schritt-Lösung

Schritt 1 — Zertifikat-Manager öffnen

Drücken Sie Win + R, geben Sie certmgr.msc ein und drücken Sie Enter. Wenn die Benutzerkontensteuerung (UAC) erscheint, klicken Sie auf Ja.

Hinweis: certmgr.msc öffnet den Speicher des aktuellen Benutzers. Um auf den Maschinenspeicher zuzugreifen, verwenden Sie mmc.exe und fügen Sie das Zertifikate-Snap-In für „Computerkonto” hinzu.

Schritt 2 — Alte IMSS-Zertifikate suchen und löschen

1. Erweitern Sie im linken Bereich Eigene Zertifikate > Zertifikate.
2. Suchen Sie nach Zertifikaten, deren Feld Ausgestellt für oder Ausgestellt von „IMSS”, „IDSE” oder die RFC Ihres Unternehmens enthält.
3. Klicken Sie mit der rechten Maustaste auf jedes und wählen Sie Löschen.
4. Bestätigen Sie die Löschung.

Wenn Sie keine Zertifikate unter Eigene Zertifikate finden, prüfen Sie auch Zertifikate — Aktueller Benutzer > Andere Personen und Zwischenzertifizierungsstellen.

Schritt 3 — Neue .cer-Datei importieren

1. Klicken Sie mit der rechten Maustaste auf Eigene Zertifikate > Zertifikate.
2. Wählen Sie Alle Aufgaben > Importieren…
3. Folgen Sie dem Assistenten: Wählen Sie die .cer-Datei, die Sie vom IMSS-Portal heruntergeladen haben.
4. Bestätigen Sie auf dem Bildschirm „Zertifikatsspeicher”, dass Eigene Zertifikate angezeigt wird, und beenden Sie den Vorgang.

Schritt 4 — Zertifikatskette überprüfen

Öffnen Sie das neu importierte Zertifikat (Doppelklick) und wechseln Sie zur Registerkarte Zertifizierungspfad. Alle Einträge müssen das Symbol für ein gültiges Zertifikat anzeigen (kein rotes X).

Wenn das Stammzertifikat fehlschlägt, laden Sie das SAT-Stammzertifikat von der offiziellen SAT-Website herunter und installieren Sie es unter Vertrauenswürdige Stammzertifizierungsstellen für den aktuellen Benutzer.

Schritt 5 — IDSE-Website als vertrauenswürdige Zone hinzufügen

1. Öffnen Sie Internet Explorer (oder Edge im IE-Modus).
2. Gehen Sie zu Extras > Internetoptionen > Sicherheit > Vertrauenswürdige Sites > Sites.
3. Fügen Sie https://idse.imss.gob.mx und https://www.imss.gob.mx hinzu.
4. Deaktivieren Sie „Für alle Sites dieser Zone eine Serversicherheit (https:) erforderlich”, wenn der Assistent dies verlangt.

Schritt 6 — Zugriff testen

Starten Sie den Browser vollständig neu, öffnen Sie das IDSE-Portal unter demselben Windows-Benutzerkonto, unter dem Sie das Zertifikat installiert haben, und versuchen Sie erneut, sich zu authentifizieren.

Alternative Lösung

Wenn die obigen Schritte das Problem nicht beheben, versuchen Sie diesen Ansatz:

MMC-Konsole mit dem Maschinenspeicher verwenden:

1. Drücken Sie Win + R und geben Sie mmc.exe ein.
2. Fügen Sie unter Datei > Snap-In hinzufügen/entfernen das Snap-In Zertifikate hinzu und wählen Sie Computerkonto.
3. Navigieren Sie im Computerspeicher zu Eigene Zertifikate > Zertifikate.
4. Importieren Sie auch hier die .cer-Datei.

Einige Systeme mit Domänenrichtlinien (Active Directory) erfordern das Zertifikat im Maschinenspeicher statt im Benutzerspeicher. Wenn Ihr Unternehmen eine Windows-Domäne verwendet, fragen Sie den IT-Administrator, ob eine GPO den Zertifikatsspeicher umleitet.

Speicher mit certutil reparieren:

Öffnen Sie eine Eingabeaufforderung als Administrator und führen Sie aus:

certutil -repairstore My "Zertifikats-Fingerabdruck"

Ersetzen Sie Zertifikats-Fingerabdruck durch den SHA1-Hash, der in den Zertifikatsdetails in certmgr.msc angezeigt wird.

Prävention

• Erneuern Sie das Zertifikat vor Ablauf. Das IMSS sendet E-Mail-Benachrichtigungen etwa 30 Tage vor Ablauf. Warten Sie nicht bis zum letzten Tag.
• Dokumentieren Sie das Windows-Benutzerkonto, unter dem das Zertifikat installiert ist. Bei Personalfluktuation benötigt der Nachfolger dieselbe Umgebung oder einen neuen Registrierungsprozess.
• Sichern Sie das Zertifikat. Klicken Sie in certmgr.msc mit der rechten Maustaste > Alle Aufgaben > Exportieren, und speichern Sie die .pfx-Datei mit Kennwort an einem sicheren Ort.
• Installieren Sie Windows nicht neu, ohne das Zertifikat vorher zu exportieren. Wenn Sie das Betriebssystem neu installieren müssen, exportieren Sie das Zertifikat mit privatem Schlüssel (.pfx), bevor Sie formatieren.
• Halten Sie das SAT-Stammzertifikat aktuell. Laden Sie es regelmäßig vom SAT-Portal herunter, um Fehler in der Zertifikatskette zu vermeiden.

Verwandte Probleme

Fehler	Wahrscheinliche Ursache	Schnelle Lösung
AccessControl: Access Denied (read)	Keine Leseberechtigung für das Zertifikat	Berechtigungen anpassen oder neu installieren
Java-Plugin-Fehler im IDSE	Inkompatible Java-Version	Java 8 u181 oder früher installieren
Zertifikat wird im IDSE-Portal nicht angezeigt	Im falschen Speicher installiert	In Eigene Zertifikate des richtigen Benutzers verschieben
0x8009030C — Keine Anmeldeinformationen verfügbar	Zertifikat nicht vom Anbieter gefunden	Zertifikat in Eigene Zertifikate importieren
Browser-Fehler beim Laden des e.firma-Zertifikats	IE / Edge IE-Modus Kompatibilität	Website als vertrauenswürdige Zone hinzufügen

---

Der 0x8009030D-Fehler in Hyper-V verwendet denselben Fehlercode, hat jedoch eine andere Ursache: Dort zeigt er an, dass Kerberos-Anmeldeinformationen nicht für die Live-VM-Migration konfiguriert sind. Wenn Sie dieses spezifische Szenario beheben möchten, lesen Sie den separaten Artikel zur Hyper-V-Live-Migration.

Zusammenfassung

• Der Fehler 0x8009030D im IMSS IDSE-Portal bedeutet, dass Windows das digitale Zertifikat nicht über den Sicherheitsanbieter verwenden kann.
• Die häufigsten Ursachen sind: ein abgelaufenes, nicht entferntes Zertifikat, ein beschädigter Speichereintrag, ein unter dem falschen Benutzerkonto installiertes Zertifikat und eine unvollständige Zertifikatskette.
• Die Hauptlösung besteht darin, certmgr.msc zu öffnen, alte IMSS-Zertifikate zu löschen und die neue .cer-Datei in den persönlichen Speicher des richtigen Benutzers neu zu importieren.
• Wenn Domänenrichtlinien beteiligt sind, muss das Zertifikat möglicherweise mit mmc.exe im Maschinenspeicher installiert werden.
• Überprüfen Sie immer die Zertifikatskette und fügen Sie die IDSE-Website als vertrauenswürdige Zone im Internet Explorer hinzu.
• Sichern Sie das Zertifikat (.pfx) immer vor jedem Hardware-Wechsel oder einer Windows-Neuinstallation.

Verwandte Artikel

• AccessControl: Access Denied-Fehler bei der IDSE-Zertifikatserneuerung beheben
• Browser-Fehler beim Laden des e.firma-Zertifikats im IDSE
• Java-Plugin-Fehler im IMSS IDSE-Portal
• Fehler beim Erneuern der e.firma beim SAT