Nebyl nalezen podpisový certifikát služby Online respondér.
Stav a funkce služby Online respondér společnosti Microsoft závisí na řadě funkcí a komponent včetně schopnosti včasného přístupu k údajům o odvolání certifikátů, platnosti certifikátu a řetězu certifikační autority (CA) a celkové reakce a dostupnosti systému.
Proveďte zápis k řádně nakonfigurovanému certifikátu podepisování odpovědí protokolu OCSP
Ke správné funkci musí mít služba Online respondér k dispozici platný certifikát podepisování odpovědí protokolu OCSP.
Pokud se vám podaří najít platný certifikát podepisování odpovědí protokolu OCSP v příslušném osobním úložišti certifikátů v počítači hostujícím službu Online respondér, můžete tento problém odstranit přiřazením certifikátu ke konfiguraci odvolání a obnovením dat odvolání.
Jestliže však certifikát podepisování odpovědí protokolu OCSP není k dispozici, závisí způsob řešení problémů s těmito certifikáty na tom, zda je zápis certifikátu nastaven tak, aby proběhl automaticky nebo ručně.
U konfigurací odvolání využívajících ručního zápisu pro podpisové certifikáty proveďte následující kroky:
Pokud certifikát podepisování odpovědí protokolu OCSP neexistuje, použijte postup popsaný v části "Ruční zápis certifikátu podepisování odpovědí protokolu OCSP".
Poté proveďte postup uvedený v části "Přiřazení certifikátu ke konfiguraci odvolání".
Proveďte postup popsaný v části "Obnovení dat o odvolání".
U konfigurací odvolání využívajících automatický zápis pro podpisové certifikáty by měl zápis proběhnout bez zásahu uživatele. Pokud tedy certifikát neexistuje, je zápis pravděpodobně z určitého důvodu zablokován. Zkontrolujte protokol událostí, zda neobsahuje další chyby nebo upozornění, které by mohly souviset s touto chybou. Nejsou-li k dispozici žádné další informace, proveďte následující akce:
Pomocí postupu popsaného v části "Kontrola přístupu k certifikační autoritě" ověřte, zda se počítač, na němž je spuštěna služba Online respondér, může připojit k certifikační autoritě (CA).
Proveďte postup popsaný v části "Kontrola správné konfigurace šablony certifikátu".
Proveďte postup popsaný v části "Kontrola dostupnosti šablony certifikátu pro certifikační autoritu".
Pomocí postupu popsaného v části "Aktualizace dat o odvolání" zkontrolujte, že se chyba neobjevuje znovu.
Abyste mohli provést tyto postupy, musíte být členem místní skupiny Správci na každém počítači hostujícím službu Online respondér a musíte mít oprávnění ke správě certifikační autority na počítači hostujícím certifikační autoritu, nebo musíte mít přiděleno příslušné oprávnění.
Proveďte ručně zápis certifikátu podepisování odpovědí protokolu OCSP
Postup ručního zápisu certifikátu podepisování odpovědí protokolu OCSP:
Klikněte na tlačítko Start, zadejte mmc a stiskněte klávesu ENTER.
Pokud se otevře dialogové okno Řízení uživatelských účtů, zkontrolujte, jestli zobrazená akce odpovídá vašemu požadavku, a pak klikněte na Pokračovat.
V nabídce Soubor klikněte na možnost Přidat nebo odebrat modul snap-in, klikněte na Certifikáty a poté na Přidat.
Klikněte na možnost Účet počítače a pak na Další.
Vyberte počítač hostující službu Online respondér, klikněte na Dokončit a poté na OK.
Dvakrát klikněte na Osobní a poté dvakrát klikněte na Certifikáty.
Hledejte jakékoli certifikáty s rozšířením Použití rozšířeného klíče podepisování protokolu OCSP (EKU).
Pokud certifikát podepisování odpovědí protokolu OCSP nelze najít nebo vypršela jeho platnost a dosud nebyl zapsán nový certifikát, proveďte zápis k novému certifikátu ručně. Za tímto účelem klikněte pravým tlačítkem na Osobní, přesuňte ukazatel na možnost Všechny úlohy a kliknutím na Požádat o nový certifikát spusťte Průvodce podáním žádosti o certifikát.
Pomocí průvodce proveďte postup zápisu. Vyberte šablonu Podepisování odpovědí protokolu OCSP nebo jinou šablonu nakonfigurovanou k vydávání certifikátů podepisování odpovědí protokolu OCSP.
Po vystavení certifikátu jej pomocí následujícího postupu přiřaďte ke konfiguraci odvolání.
Přiřazení certifikátu ke konfiguraci odvolání
Postup přiřazení certifikátu ke konfiguraci odvolání:
Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Online respondér.
Ve stromu konzoly rozbalte položku Konfigurace pole a klikněte na uzel počítače, na kterém byla zaprotokolována chyba.
Klikněte pravým tlačítkem na konfiguraci odvolání uvedenou v protokolu událostí a klikněte na Přiřadit podpisový certifikát.
Vyberte certifikát a klikněte na tlačítko OK.
Klikněte na Konfigurace odvolání a poté klikněte pravým tlačítkem na konfiguraci odvolání.
Klikněte na Upravit vlastnosti a klikněte na kartu Podepsání. Nechcete-li při každém obnovení podpisového certifikátu znovu ručně přiřazovat podpisový certifikát ke konfiguraci odvolání, zaškrtněte políčko Automaticky použít obnovené podpisové certifikáty. Pokud si nepřejete, aby toto přiřazování probíhalo automaticky, nechejte toto políčko nezaškrtnuté.
Po dokončení pomocí následujícího postupu zkontrolujte, zda se chyba nevyskytne znovu.
Aktualizace dat odvolání
Postup aktualizace informací o odvolání pro službu Online respondér pomocí modulu snap-in Online respondér:
Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Online respondér.
Klikněte pravým tlačítkem na Konfigurace pole a klikněte na Obnovit data o odvolání.
Zkontrolujte, zda nejsou hlášeny další chyby.
Klikněte na uzel Online respondéru a zkontrolujte, zda je konfigurace odvolání ve stavu Pracuje.
V položce Konfigurace pole vyberte počítač Online respondéru, který zaprotokoloval chybu, a poté klikněte na konfiguraci odvolání uvedenou v chybě.
V podokně podrobností se podívejte na panel Stav konfigurace odvolání a zjistěte stav podpisového certifikátu a zprostředkovatele odvolání.
Zkontrolujte, zda nejsou hlášeny další chyby.
Konfigurace odvolání nastavené pro automatické zapisování podpisových certifikátů
Předcházející postup předpokládá, že certifikát podepisování odpovědí protokolu OCSP byl nastaven k ručnímu zápisu. Pokud byl certifikát podepisování odpovědí protokolu OCSP nastaven k automatickému zápisu, musíte zkontrolovat, zda procesu obnovení nebrání jiné problémy.
Abyste mohli provést tyto postupy, musíte být členem místní skupiny Správci, nebo musíte mít přiděleno příslušné oprávnění.
Zkontrolujte, zda je přístupná certifikační autorita
Kontrola přístupu klienta k certifikační autoritě:
Otevřete okno příkazového řádku.
Napište certutil -ping -config<počítač\uživatel> a stiskněte ENTER.
Poznámka: Použijete-li možnost -config, je operace zpracována pomocí výchozí certifikační autority. Pokud použijete možnost -config, musíte specifikovat počítač nebo uživatele s oprávněním k zápisu certifikátů z certifikační autority. V opačném případě se otevře dialogové okno Vybrat certifikační autoritu, v němž se zobrazí seznam všech dostupných certifikačních autorit.
Kontrola správné konfigurace šablony certifikátu
Postup kontroly správné konfigurace šablony certifikátu podepisování odpovědí protokolu OCSP:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, zadejte příkaz Certtmpl.msc a stiskněte klávesu ENTER.
Klikněte pravým tlačítkem na šablonu podepisování odpovědí protokolu OCSP a klikněte na Vlastnosti.
Klikněte na kartu Zabezpečení.
V položce Uživatelské jméno nebo název skupiny klikněte na Přidat.
Klikněte na Typy objektů, zaškrtněte políčko Počítače a klikněte na tlačítko OK.
Zadejte název nebo procházejte počítač hostující službu Online respondér nebo služby respondéru OCSP (Online Certificate Status Protocol) a klikněte na tlačítko OK.
V dialogovém okně Název skupiny nebo jméno uživatele klikněte na název počítače.
V dialogovém okně Oprávnění zaškrtněte políčka Čtení, Zápis a Automatický zápis a poté klikněte na tlačítko OK.
Zkontrolujte, zda je certifikační autoritě dostupná šablona certifikátu
Postup publikování šablony certifikátu:
Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a poté klikněte na Certifikační autorita.
Ve stromu konzoly klikněte pravým tlačítkem na Šablony certifikátů, klikněte na Nový a poté na Vystavovaná šablona certifikátu.
Vyberte šablonu certifikátu a klikněte na tlačítko OK.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 23 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.23" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">23</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>