Il servizio Risponditore online è stato arrestato
Lo stato e il funzionamento del servizio Risponditore online di Microsoft dipendono da numerose funzionalità e componenti, tra cui la possibilità di accedere tempestivamente ai dati di revoca dei certificati, la validità del certificato e della catena dell'autorità di certificazione (CA) e la reattività e disponibilità generali del sistema.
Verifica della corrispondenza della versione di Delta CRL alla versione di Base CRL
Un elenco di revoche di certificati (CRL) delta può essere utilizzato solo con un Base CRL corrispondente. Per verificare la corrispondenza della versione di Delta CRL alla versione di Base CRL:
Verificare la presenza di errori di pubblicazione del CRL nell'autorità di certificazione (CA).
Ripubblicare Delta CRL e Base CRL.
Controllare e aggiornare i CRL locali sul computer su cui è in esecuzione Risponditore online.
Aggiornare le informazioni di revoca su Risponditore online.
Verificare che i punti di distribuzione Elenco di revoche di certificati (CRL) configurati sulla CA e Risponditore online utilizzino lo stesso percorso.
Aggiornare le informazioni di revoca.
Se il problema persiste, utilizzare la diagnostica CryptoAPI 2.0 per ottenere ulteriori informazioni sul problema.
Per eseguire queste procedure, è necessario essere un membro del gruppo Administrators locale sul computer su cui si trova Risponditore online e disporre di autorizzazioni Gestione CA sul computer su cui si trova la CA, o avere ricevuto in delega l'autorità appropriata.
Verifica della presenza di errori di pubblicazione del CRL nella CA
Per verificare la presenza di errori di pubblicazione del CRL nella CA:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic sul Visualizzatore eventi.
Verificare la presenza di altri errori o avvisi relativi alla pubblicazione del CRL. Per altre informazioni, vedere http://go.microsoft.com/fwlink/?LinkId=102985.
Risolvere i problemi individuati e ripubblicare Delta CRL e Base CRL.
Ripubblicazione di Delta CRL e Base CRL
Per ripubblicare Delta CRL e Base CRL:
Aprire una finestra del prompt dei comandi sulla CA.
Digitare certutil -crl e premere INVIO.
Verificare che non vengano registrati altri errori o eventi.
Controllo e aggiornamento dei CRL locali sul computer su cui è in esecuzione Risponditore online
Per accertarsi che gli attuali Delta CRL e Base CRL siano disponibili su Risponditore online:
Sul computer su cui si trova Risponditore online, fare clic sul pulsante Start, digitare mmc e premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Fare clic su Account del servizio, quindi fare clic su Avanti.
In Seleziona servizio, fare clic su Servizio Risponditore online, fare clic su Fine, quindi fare clic su OK.
Selezionare la cartella Elenco di revoche di certificati per i contenitori Autorità di certificazione intermedie o Autorità di certificazione radice disponibili nell'elenco locale, a seconda del tipo di CA che supporta il servizio Risponditore online.
Controllare il valore di BaseCRLNumber specificato nell'estensione dell'indicatore Delta CRL di Delta CRL. Questo numero dovrebbe fare riferimento al numero di versione di un Base CRL pubblicato.
Se questo numero non corrisponde al numero di versione di un Base CRL pubblicato, ripubblicare sia Base CRL sia Delta CRL aprendo una finestra del prompt dei comandi nella CA ed eseguendo il seguente comando: certutil -crl.
Recuperare dati aggiornati del CRL su Risponditore online. A tale scopo, riavviare il servizio Risponditore online in ogni membro dell'array o fare clic con il pulsante destro del mouse sullo snap-in Configurazione array, quindi fare clic su Aggiorna i dati di revoca. Infine, verificare che i numeri di versione di Base CRL e Delta CRL corrispondano.
Verifica dell'utilizzo dello stesso percorso nei punti di distribuzione Elenco di revoche di certificati (CRL) configurati sulla CA e in Risponditore online
Per verificare che nei punti di distribuzione Elenco di revoche di certificati (CRL) configurati sulla CA e in Risponditore online venga utilizzato lo stesso percorso:
In Risponditore online, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Risponditore online.
Nell'albero della console, selezionare il nodo della configurazione di revoca.
Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sulla configurazione di revoca specificata nella descrizione dell'evento, quindi fare clic su Modifica proprietà.
Fare clic sulla scheda Provider di revoca, quindi fare clic su Provider. Prendere nota degli URL configurati in Base CRL e Delta CRL.
Verificare che il computer su cui si trova Risponditore online possa accedere a questi percorsi.
Aprire lo snap-in Autorità di certificazione, fare clic con il pulsante destro del mouse sul nome della CA, quindi scegliere Proprietà.
Nella scheda Estensioni, selezionare l'estensione Punto di distribuzione CRL, prendere nota degli URL elencati e verificare che gli URL sui due computer utilizzino lo stesso percorso.
Aggiornamento delle informazioni di revoca
È possibile aggiornare le informazioni di revoca recuperando un CRL aggiornato. Per recuperare un CRL aggiornato, è possibile in uno dei modi descritti di seguito:
Utilizzando la console snap-in Servizi per riavviare il servizio Risponditore online
Utilizzando lo snap-in Risponditore online per aggiornare i dati di revoca e verificare che l'errore non venga visualizzato
Per aggiornare le informazioni di revoca per un Risponditore online utilizzando la console snap-in Servizi:
Nel Risponditore online, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Servizi.
Fare clic su Servizi Risponditore online, quindi fare clic su Riavvia.
Per aggiornare le informazioni di revoca per un Risponditore online utilizzando la console snap-in Servizi:
Sul computer su cui si trova il Risponditore online, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Risponditore online.
Fare clic con il pulsante destro del mouse su Configurazione array, quindi scegliere Aggiorna i dati di revoca.
Verificare che non vengano segnalati altri errori.
Fare clic sul nodo Risponditore online e confermare che la configurazione di revoca sia elencata come Funzionante.
In Configurazione array, selezionare il computer su cui si trova Risponditore online che ha registrato l'errore, quindi fare clic sulla configurazione di revoca indicata nell'errore.
Sotto il riquadro dei dettagli, osservare nel riquadro Stato configurazione di revoca lo stato del certificato di firma e il provider di revoca.
Verificare che non vengano segnalati altri errori.
Attivazione della diagnostica CryptoAPI 2.0
Per attivare la diagnostica CryptoAPI 2.0:
Nel Risponditore online, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Visualizzatore eventi.
Nell'albero della console, espandere Visualizzatore eventi, Registri applicazioni e servizi, Microsoft, Windows e CAPI2.
Fare clic con il pulsante destro del mouse su Operativo, quindi fare clic su Attiva registro.
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Servizi.
Fare clic con il pulsante destro del mouse su Servizi certificati Active Directory, quindi fare clic su Riavvia.
In base ai risultati delle procedure descritte sopra e dopo avere attivato la diagnostica CryptoAPI 2.0, assicurarsi che la CA pubblichi i CRL correttamente e che essi siano disponibili per il servizio Risponditore online.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 18 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.18" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>