具有源 OnlineResponder 和 ID 23 的事件的收集规则

摘要

Microsoft 联机响应程序服务的状态和功能与许多功能和组件之间存在依赖关系，包括能否及时访问证书吊销数据、证书颁发机构 (CA) 证书和链的有效性，以及整体系统响应和可用性。

解决方案

注册一个正确配置的 OCSP 响应签名证书

为了正常运行，联机响应程序需要有一个有效的 OCSP 响应签名证书。

如果您能在托管联机响应程序的计算机的相应个人证书存储中找到一个有效的 OCSP 响应签名证书，您可以通过将证书分配给吊销配置并刷新吊销数据来解决这个问题。

但是，如果您没有 OCSP 响应签名证书，则如何解决 OCSP 响应签名证书问题将取决于是将证书注册配置为自动进行还是手动进行。

对于使用手动注册签名证书的吊销配置，请执行以下操作：

• 如果 OCSP 响应签名证书不存在，则使用“手动注册 OCSP 响应签名证书”一节中的过程。

• 然后完成“将证书分配给吊销配置”一节中的过程。

• 完成“刷新吊销数据”一节中的过程。

对于使用自动注册签名证书的吊销配置，注册应在没有用户干预的情况下进行。因此，如果证书不存在，可能会由于某些原因阻止注册。检查事件日志中是否存在可能与此错误有关的其他错误或警告。如果没有其他可用信息，则执行以下操作：

• 使用“确认 CA 可以访问”一节中的过程确认正在运行联机响应程序服务的计算机可以连接到证书颁发机构 (CA)。 

• 完成“确认证书模板已正确配置”一节中的过程。

• 完成“确认证书模板可用于 CA”一节中的过程。

• 完成“刷新吊销数据”一节中的过程，以确保错误不会再出现。

要执行这些过程，您必须是托管联机响应程序的所有计算机上的本地管理员组成员，并且在托管 CA 的计算机上具有管理 CA 权限，或您已被委派适当的权限。

手动注册 OCSP 响应签名证书

要手动注册 OCSP 响应签名证书，请执行以下操作：

• 单击“开始”，键入 mmc，然后按 ENTER。

• 如果显示“用户帐户控制”对话框，请确认显示的操作正是你要执行的操作，然后单击“继续”。

• 在“文件”菜单上，依次单击“添加/删除管理单元”、“证书”、“添加”。

• 单击“计算机”帐户，然后单击“下一步”。

• 选择托管联机响应程序的计算机，单击“完成”，然后单击“确定”。

• 双击“个人”，然后双击“证书。

• 寻找任何具有 OCSP 签名增强型密钥用法 (EKU) 扩展名的证书。

• 如果找不到 OCSP 响应签名证书，或者如果 OCSP 响应签名证书已过期，且尚未注册新的证书，则手动注册一个新的证书。为此,请右键单击“个人”，指向“所有任务”，然后单击“申请新证书”以启动“证书申请”向导。

• 使用该向导完成注册过程，选择 OCSP 响应签名模板或配置为颁发 OCSP 响应签名证书的另一模板。  

• 颁发证书后，使用以下过程将其分配给吊销配置。

将证书分配给吊销配置

要将证书分配给吊销配置,请执行以下操作:

• 单击“开始”，指向“管理工具”，然后单击“联机响应程序”。

• 在控制台树中，展开“数组配置“，然后单击记录错误的计算机的节点。

• 右键单击在事件日志中标识的吊销配置，然后单击“分配签名证书”。

• 选择证书，并单击“确定”。

• 单击“吊销配置”，然后右键单击相应的吊销配置。

• 单击“编辑属性”，然后单击“签名”选项卡。如果您不希望每次续订签名证书都手动将签名证书重新分配给吊销配置，则选中“自动使用更新的签名证书“复选框。如果您不希望自动进行此分配，请不要选中此复选框。

• 当您完成时，请使用以下过程确保错误不再出现。

刷新吊销数据

要使用联机响应程序管理单元来刷新联机响应程序的吊销信息，请执行以下操作：

• 单击“开始”，指向“管理工具”，然后单击“联机响应程序”。

• 右键单击数组配置，然后单击“刷新吊销数据”。

• 确认不再报告其他错误。

• 单击“联机响应程序”节点，然后确认列出的吊销配置显示为“工作正常”。

• 在“数组配置”下，选择记录错误的联机响应程序计算机，然后单击错误中指出的吊销配置。

• 在详细信息窗格下，查看“吊销配置状态”窗格中签名证书的状态和吊销提供程序。

• 确认不再报告其他错误。

吊销配置设置为自动注册签名证书。

前面的过程假定 OCSP 响应签名证书被配置为手动注册。如果 OCSP 响应签名证书模板被配置为自动注册，您需要确认没有其他问题会阻碍续订过程。

要执行这些过程，您必须拥有本地管理员成员身份，或者您必须已被委派适当的权限。

确认 CA 可访问

要确认客户可访问 CA，请执行以下操作：

• 打开命令提示符窗口。

• 键入 certutil -ping -config<computer\user>，然后按 ENTER。

注意:如果使用 -config -，则会使用默认的 CA 处理操作。使用 -config 选项时，您必须指定具有可通过 CA 注册证书权限的计算机或用户。否则，将出现“选择证书颁发机构”对话框并显示所有可用 CA 的列表。

确认正确配置了证书模板

要确认是否正确配置了 OCSP 响应签名证书模板，请执行以下操作：

• 在托管 CA 的计算机上，单击“开始”，键入 Certtmpl.msc，然后按 ENTER。

• 右键单击 OCSP 响应签名模板，然后单击“属性”。

• 单击“安全”选项卡。

• 在“组或用户名”下，单击“添加”。

• 单击“对象类型”，选中“计算机”复选框，然后单击“确定”。

• 键入托管联机响应程序或联机证书状态协议 (OCSP) 响应程序服务的计算机的名称，或浏览选择该计算机，然后单击“确定”。

• 在“组或用户名”对话框中，单击计算机名。

• 在“权限”对话框中，选中“读取”、“注册”和“自动注册”复选框，然后单击“确定”。 

确认证书模板可用于 CA

要发布证书模板，请执行以下操作：

• 单击“开始”，指向“管理工具”，然后单击“证书颁发机构”。

• 在控制台树中，右键单击“证书模板”，再单击“新建”，然后单击“要颁发的证书模板”。

• 选择证书模板，并单击“确定”。