Ein Signierungszertifikat für den Online-Responder-Dienst konnte nicht gefunden werden.
Der Status und die Funktionsweise des Microsoft Online-Responder-Diensts weisen Abhängigkeiten zu zahlreichen Funktionen und Komponenten auf, einschließlich der Möglichkeit für den Zugriff auf zeitgerechte Zertifikatsperrdaten, der Gültigkeit des Zertifikats und der Kette der Zertifizierungsstelle und der Gesamtsystemantwort und -verfügbarkeit.
Ordnungsgemäß konfiguriertes OCSP Response-Signaturzertifikat registrieren
Für die ordnungsgemäße Funktion muss ein Online-Responder über ein gültiges OCSP Response-Signaturzertifikat verfügen.
Wenn Sie ein gültiges OCSP Response-Signaturzertifikat im entsprechenden persönlichen Zertifikatspeicher des Computers finden können, der den Online-Responder hostet, können Sie dieses Problem durch Zuweisen des Zertifikats zu einer Sperrkonfiguration und anschließendem Aktualisieren der Sperrdaten beheben.
Wenn Sie jedoch kein OCSP Response-Signaturzertifikat besitzen, hängt die Art der Problemlösung mit OCSP Response-Signaturzertifikaten davon ab, ob die Zertifikatregistrierung gemäß Konfiguration automatisch oder manuell erfolgen soll.
Gehen Sie bei Sperrkonfigurationen mit manueller Registrierung für Signaturzertifikate wie folgt vor:
Wenn das OCSP Response-Signaturzertifikat nicht vorhanden ist, verwenden Sie das im Abschnitt "Manuell für ein OCSP Response-Signaturzertifikat registrieren" beschriebene Verfahren.
Dann führen Sie das Verfahren im Abschnitt "Zertifikat zu Sperrkonfiguration zuweisen" aus.
Führen Sie das Verfahren im Abschnitt "Sperrdaten aktualisieren" aus.
Bei Sperrkonfigurationen mit automatischer Registrierung für Signaturzertifikate muss die Registrierung ohne Benutzereingriff erfolgen. Wenn das Zertifikat nicht vorhanden ist, wurde die Registrierung wahrscheinlich blockiert. Prüfen Sie das Ereignisprotokoll auf weitere Fehler oder Warnungen, die sich möglicherweise auf diesen Fehler beziehen. Wenn keine weiteren Informationen verfügbar sind, führen Sie die folgenden Aktionen aus:
Verwenden Sie das Verfahren im Abschnitt "Verfügbarkeit einer Zertifizierungsstelle bestätigen", um zu bestätigen, dass der Computer, auf dem der Online-Responder-Dienst ausgeführt wird, eine Verbindung zu einer Zertifizierungsstelle herstellen kann.
Führen Sie das Verfahren im Abschnitt "Ordnungsgemäße Konfiguration einer Zertifikatvorlage bestätigen" aus.
Führen Sie das Verfahren im Abschnitt "Verfügbarkeit einer Zertifikatvorlage für eine Zertifizierungsstelle bestätigen" aus.
Führen Sie das Verfahren im Abschnitt "Sperrdaten aktualisieren" aus, um sicherzustellen, dass der Fehler nicht erneut angezeigt wird.
Zum Ausführen dieser Verfahren müssen Sie auf jedem Computer, der den Online-Responder hostet, Mitglied der lokalen Administratoren sein. Außerdem müssen Sie auf dem Computer, der die Zertifizierungsstelle hostet, über die Berechtigung "Zertifizierungsstelle verwalten" verfügen, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
OCSP Response-Signaturzertifikat manuell registrieren
So registrieren Sie ein OCSP Response-Signaturzertifikat manuell
Klicken Sie auf "Start", geben Sie "mmc" ein, und drücken Sie dann die EINGABETASTE.
Wenn das Dialogfeld "Benutzerkontensteuerung" angezeigt wird, überprüfen Sie, ob die gewünschte Aktion angezeigt wird, und klicken Sie dann auf "Fortfahren".
Klicken Sie im Menü "Datei" auf "Snap-In hinzufügen/entfernen", und klicken Sie dann auf "Zertifikate" und "Hinzufügen".
Klicken Sie auf "Computerkonto", und klicken Sie dann auf "Weiter".
Wählen Sie den Computer aus, der den Online-Responder hostet, klicken Sie auf "Fertig stellen" und dann auf "OK".
Doppelklicken Sie auf "Eigene Zertifikate" und dann auf "Zertifikate".
Suchen Sie nach Zertifikaten mit der Erweiterung EKU (OCSP Signing Enhanced Key Usage).
Wenn Sie kein OCSP Response-Signaturzertifikat finden oder das OCSP Response-Signaturzertifikat abgelaufen ist und das neue Zertifikat noch nicht registriert wurde, führen Sie die Registrierung für ein neues Zertifikat manuell aus. Klicken Sie dazu mit der rechten Maustaste auf "Eigene Zertifikate", zeigen Sie auf "Alle Aufgaben", und klicken Sie dann auf "Neues Zertifikat anfordern", um den Assistenten für die Zertifikatregistrierung zu starten.
Führen Sie den Registrierungsprozess mit dem Assistenten aus, und wählen Sie die OCSP Response-Signaturvorlage oder eine andere Vorlage aus, die für die Ausstellung von OCSP Response-Signaturzertifikaten konfiguriert ist.
Nachdem das Zertifikat ausgestellt wurde, weisen Sie es mithilfe des folgenden Verfahrens zur Sperrkonfiguration zu.
Zertifikat zu einer Sperrkonfiguration zuweisen
So weisen Sie ein Zertifikat zu einer Sperrkonfiguration zu
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Online-Responder".
Erweitern Sie in der Konsolenstruktur "Arraykonfiguration", und klicken Sie dann auf den Knoten des Computers, auf dem der Fehler protokolliert wurde.
Klicken Sie mit der rechten Maustaste auf die Sperrkonfiguration, die im Ereignisprotokoll angegeben ist, und klicken Sie dann auf "Signaturzertifikat zuweisen".
Wählen Sie das Zertifikat aus, und klicken Sie auf "OK".
Klicken Sie auf "Sperrkonfiguration", und klicken Sie dann mit der rechten Maustaste auf die Sperrkonfiguration.
Klicken Sie auf "Eigenschaften bearbeiten", und klicken Sie dann auf die Registerkarte "Signatur". Aktivieren Sie das Kontrollkästchen "Automatisch erneuerte Signaturzertifikate verwenden", wenn Sie das Signaturzertifikat nicht jedes Mal erneut manuell zur Sperrkonfiguration zuweisen möchten, wenn es erneuert wird. Wenn diese Zuweisung nicht automatisch erfolgen soll, aktivieren Sie dieses Kontrollkästchen nicht.
Wenn Sie fertig sind, stellen Sie mit dem folgenden Verfahren sicher, dass der Fehler nicht erneut auftritt.
Sperrdaten aktualisieren
So aktualisieren Sie Sperrinformationen für einen Online-Responder mithilfe des Snap-Ins "Online-Responder"
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Online-Responder".
Klicken Sie mit der rechten Maustaste auf "Arraykonfiguration", und klicken Sie dann auf "Sperrungsdaten aktualisieren".
Bestätigen Sie, dass keine weiteren Fehler gemeldet wurden.
Klicken Sie auf den Online-Responder-Knoten und bestätigen Sie, dass die Sperrkonfiguration als "Wird ausgeführt" aufgelistet wird.
Wählen Sie unter "Arraykonfiguration" den Online-Responder-Computer aus, der den Fehler protokolliert hat, und klicken Sie dann auf die im Fehler angegebene Sperrkonfiguration.
Zeigen Sie unter dem Detailbereich den Bereich "Sperrkonfigurationsstatus" für den Status des signierenden Zertifikats sowie den Sperranbieter an.
Bestätigen Sie, dass keine weiteren Fehler gemeldet wurden.
Für die automatische Registrierung von Signaturzertifikaten konfigurierte Sperrkonfigurationen
Im vorherigen Verfahren wurde angenommen, dass das OCSP Response-Signaturzertifikat für die manuelle Registrierung konfiguriert war. Wenn die OCSP Response-Signaturzertifikatvorlage für die automatische Registrierung konfiguriert wurde, müssen Sie bestätigen, dass der Erneuerungsprozess durch keine anderen Probleme blockiert wird.
Zum Ausführen dieser Verfahren müssen Sie Mitglied der Gruppe der lokalen Administratoren sein, oder an Sie müssen die entsprechenden Berechtigungen delegiert worden sein.
Verfügbarkeit einer Zertifizierungsstelle bestätigen
So bestätigen Sie, dass ein Client auf eine Zertifizierungsstelle zugreifen kann
Öffnen Sie ein Eingabeaufforderungsfenster.
Geben Sie certutil -ping -config<computer\user> ein, und drücken Sie dann die EINGABETASTE.
Hinweis: Wenn Sie "-config -" verwenden, wird der Vorgang mithilfe der Standardzertifizierungsstelle verarbeitet. Sie müssen den Computer oder den Benutzer mit der Berechtigung zum Registrieren von Zertifikaten über die Zertifizierungsstelle angeben, wenn Sie die Option "-config" verwenden. Andernfalls wird das Dialogfeld "Zertifizierungsstelle auswählen" mit einer Liste aller verfügbaren Zertifizierungsstellen angezeigt.
Ordnungsgemäße Konfiguration einer Zertifikatvorlage bestätigen
So bestätigen Sie, dass eine OCSP Response-Signaturzertifikatvorlage ordnungsgemäß konfiguriert ist
Klicken Sie auf dem Computer, der die Zertifizierungsstelle hostet, auf "Start", geben Sie "Certtmpl.msc" ein, und drücken Sie die EINGABETASTE.
Klicken Sie mit der rechten Maustaste auf die OCSP Response-Signaturvorlage, und klicken Sie dann auf "Eigenschaften".
Klicken Sie auf die Registerkarte "Sicherheit".
Klicken Sie unter "Gruppen- oder Benutzername" auf "Hinzufügen".
Klicken Sie auf "Objekttypen", aktivieren Sie das Kontrollkästchen "Computer", und klicken Sie dann auf "OK".
Geben Sie den Namen des Computers ein, oder navigieren Sie zu dem Computer, auf dem sich der Online-Responder oder die OCSP-Responder-Dienste befinden, und klicken Sie auf "OK".
Klicken Sie im Dialogfeld "Gruppen- oder Benutzernamen" auf den Computernamen.
Aktivieren Sie im Dialogfeld "Berechtigungen" die Kontrollkästchen "Lesen", "Registrieren" und "Automatisch registrieren", und klicken Sie dann auf "OK".
Verfügbarkeit einer Zertifikatvorlage für eine Zertifizierungsstelle bestätigen
So veröffentlichen Sie eine Zertifikatvorlage
Klicken Sie auf "Start", zeigen Sie auf "Verwaltung", und klicken Sie dann auf "Zertifizierungsstelle".
Klicken Sie in der Konsolenstruktur mit der rechten Maustaste auf "Zertifikatvorlagen", klicken Sie dann auf "Neu" und anschließend auf "Auszustellende Zertifikatvorlage".
Wählen Sie die Zertifikatvorlage aus, und klicken Sie auf OK.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 23 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.23" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">23</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>