El Respondedor en línea se ha detenido
El estado y el funcionamiento del servicio "Respondedor en línea" de Microsoft depende de un gran número de características y componentes, entre los que se incluyen la capacidad para acceder a tiempo a los datos de revocación de certificados, la validez del certificado y la cadena de la entidad de certificación (CA) y la respuesta y disponibilidad total del sistema.
Compruebe que la versión de CRL de diferencias coincida con la versión de la CRL de base.
Las listas de revocación de certificados (CRL) de diferencias solo se pueden utilizar con la CRL de base correspondiente. Para comprobar que la versión de CRL de diferencias coincide con la versión de la CRL de base:
Compruebe los errores de publicación de CRL en la entidad de certificación (CA).
Vuelva a publicar las CRL de base y de diferencias.
Compruebe y actualice las CRL locales en el equipo del Respondedor en línea.
Actualice la información de revocación en el Respondedor en línea.
Confirme que los puntos de distribución de CRL en la CA y en el Respondedor en línea usen la misma ubicación.
Actualice la información de la revocación.
Si el problema persiste, use CryptoAPI 2.0 Diagnostics para obtener información adicional sobre el problema.
Para ejecutar estos procedimientos debe ser miembro del grupo local "Administradores" en el equipo que hospede el Respondedor en línea y disponer de permisos para administrar CA en el equipo que hospede la CA, o bien haber delegado la autoridad adecuada.
Comprobación de errores de publicación de CRL en la CA
Para comprobar si hay errores de publicación de CRL en la CA:
En la CA, haga clic en "Inicio", seleccione "Herramientas administrativas" y, a continuación, haga clic en "Visor de eventos".
Compruebe si hay errores o advertencias adicionales relacionados con la publicación de CRL. Para obtener más información, consulte http://go.microsoft.com/fwlink/?LinkId=102985.
Solucione los problemas identificados y vuelva a publicar las CRL de base y de diferencias.
Volver a publicar CRL de base y de diferencias
Para volver a publicar CRL de base y de diferencias:
Abra una ventana del símbolo del sistema en la CA.
Escriba certutil -crl y presione ENTRAR.
Confirme que no se han registrado más errores o eventos.
Compruebe y actualice las CRL locales en el equipo del Respondedor en línea
Para comprobar que las CRL de base y de diferencias están disponibles en el Respondedor en línea:
En el equipo donde se hospeda el Respondedor en línea, haga clic en Inicio, escriba mmc y, a continuación, presione ENTRAR.
Si se muestra el cuadro de diálogo Control de cuentas de usuario, confirme que la acción que muestra es la que quiere y haga clic en Continuar.
En el menú Archivo, haga clic en Agregar o quitar complemento, en Certificados y, a continuación, en Agregar.
Haga clic en "Cuenta de servicio" y, a continuación, en "Siguiente".
En "Seleccionar servicio", haga clic en el servicio "Respondedor en línea", haga clic en "Finalizar" y, a continuación, haga clic en "Aceptar".
Seleccione la carpeta de la lista de revocación de certificados para los contenedores de las entidades de certificación intermedias o de las entidades de certificación raíz de confianza, según el tipo de CA que sea compatible con el servicio "Respondedor en línea".
Compruebe el número de CRL de base especificado en la extensión del indicador CRL de la CRL de diferencias. Este número debe corresponderse con el número de versión de una CRL de base publicada.
Si este número no coincide con el número de versión de una CRL de base publicada, vuelva a publicar las CRL de base y de diferencias; para ello, abra una ventana del símbolo del sistema en la CA y ejecute el comando siguiente: certutil -crl.
Recupere los datos de la CRL actualizada en el Respondedor en línea. Para ello, reinicie el servicio "Respondedor en línea" de los miembros de la matriz o haga clic con el botón secundario en la configuración de la matriz del complemento "Respondedor en línea" y haga clic en "Actualizar datos de revocación". A continuación, confirme que los números de versión de las CRL de base y de diferencias coincidan.
Confirmar que los puntos de distribución de CRL en la CA y en el Respondedor en línea usen la misma ubicación
Para confirmar que los puntos de distribución de CRL en la CA y en el Respondedor en línea usan la misma ubicación:
En el Respondedor en línea, haga clic en "Inicio", seleccione "Herramientas administrativas" y haga clic en "Respondedor en línea".
En el árbol de consola, seleccione el nodo de configuración de revocación.
En el panel de detalles, haga clic con el botón secundario en la configuración de revocación especificada en la descripción de eventos y haga clic en "Editar propiedades".
Haga clic en la ficha "Proveedor de revocación" y haga clic en "Proveedor". Anote las direcciones URL configuradas en las CRL de base y de diferencias.
Confirme que el equipo del Respondedor en línea pueda acceder a estas ubicaciones.
Abra el complemento "Entidad de certificación", haga clic con el botón secundario en el nombre de la CA y, a continuación, haga clic en "Propiedades".
En la ficha "Extensiones", seleccione la extensión "Punto de distribución de CRL", anote las direcciones URL de la lista y confirme que las URL que ambos equipos usan la misa ubicación.
Actualización de la información de revocación
Para actualizar la información de revocación, recupere una CRL actualizada. Para recuperar CRL actualizadas:
Use la consola del complemento Servicios para reiniciar el servicio Respondedor en línea
Use el complemento Respondedor en línea para actualizar los datos de revocación y confirmar que el error no aparezca
Para actualizar la información de revocación de un Respondedor en línea mediante la consola del complemento Servicios:
En el Respondedor en línea, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Servicios.
Haga clic en Servicios del Respondedor en línea y en Reiniciar.
Para actualizar la información de revocación de un Respondedor en línea mediante el complemento Respondedor en línea:
En el equipo donde se hospeda el Respondedor en línea, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Respondedor en línea.
Haga clic con el botón secundario en Configuración de la matriz y haga clic en Actualizar datos de revocación.
Confirme que no se hayan detectado errores adicionales.
Haga clic en el nodo "Respondedor en línea" y confirme que la configuración de revocación funcione correctamente.
En Configuración de la matriz, seleccione el equipo del Respondedor en línea que registró el error y, a continuación, haga clic en la configuración de revocación que aparezca en el error.
En el panel de detalles, consulte el estado del certificado de firma y del proveedor de revocación en el panel "Estado de configuración de revocación".
Confirme que no se hayan detectado errores adicionales.
Cómo habilitar CryptoAPI 2.0 Diagnostics
Para habilitar CryptoAPI 2.0 Diagnostics:
En el Respondedor en línea, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Visor de eventos.
En el árbol de consola, amplíe Visor de eventos, Registros de aplicaciones y servicios, Microsoft, Windows y CAPI2.
Haga clic con el botón secundario en Operativo y seleccione la opción Habilitar registro.
Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Servicios.
Haga clic con el botón secundario en Servicios de certificados de Active Directory y haga clic en Reiniciar.
Según los resultados de los procedimientos anteriores y después de habilitar CryptoAPI 2.0 Diagnostics, compruebe que la CA publica correctamente las CRL y que estas están disponibles en el servicio "Respondedor en línea".
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 18 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.18" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
</WriteActions>
</Rule>