Impossibile trovare un certificato di firma del servizio Risponditore online.
Lo stato e il funzionamento del servizio Risponditore online di Microsoft dipendono da numerose funzionalità e componenti, tra cui la possibilità di accedere tempestivamente ai dati di revoca dei certificati, la validità del certificato e della catena dell'autorità di certificazione (CA) e la reattività e disponibilità generali del sistema.
Registrazione di un certificato Firma risposta OCSP configurato correttamente
Per poter funzionare, un Risponditore online deve disporre di un certificato Firma risposta OCSP configurato correttamente.
Se si è in grado di individuare un certificato Firma risposta OCSP valido nell'archivio dei certificati personali appropriato del computer su cui si trova il Risponditore online, è possibile correggere il problema assegnando il certificato a una configurazione di revoca e aggiornando i dati di revoca.
Tuttavia, se non si dispone di un certificato Firma risposta OCSP, la modalità di risoluzione dei problemi riguardanti i certificati Firma risposta OCSP dipende dal fatto che la registrazione del certificato sia stata configurata per avvenire automaticamente o manualmente.
Per le configurazioni di revoca che utilizzano la registrazione manuale per firmare i certificati, effettuare le seguenti operazioni:
Se il certificato Firma risposta OCSP non esiste, utilizzare la procedura descritta nella sezione "Registrazione manuale di un certificato Firma risposta OCSP".
Quindi, completare la procedura descritta nella sezione "Assegnazione di un certificato a una configurazione di revoca".
Completare la procedura descritta nella sezione "Aggiornamento dei dati di revoca".
Per le configurazioni di revoca che utilizzano la registrazione automatica per firmare i certificati, la registrazione dovrebbe avvenire senza l'intervento dell'utente. Pertanto, se il certificato non esiste, la registrazione è probabilmente stata bloccata per qualche motivo. Controllare il registro eventi per individuare ulteriori errori o avvisi che potrebbero essere relativi a questo errore. Se non sono disponibili altre informazioni, effettuare le seguenti operazioni:
Utilizzare la procedura descritta nella sezione "Verifica dell'accessibilità di una CA" per confermare che il computer su cui è in esecuzione il servizio Risponditore online sia in grado di connettersi a un'autorità di certificazione (CA).
Completare la procedura descritta nella sezione "Verifica della corretta configurazione di un modello di certificato".
Completare la procedura descritta nella sezione "Verifica della disponibilità di un modello di certificato per una CA".
Completare la procedura descritta nella sezione "Aggiornamento dei dati di revoca" per accertarsi che l'errore non si verifichi nuovamente.
Per eseguire queste procedure, è necessario essere un membro del gruppo Administrators locale su ogni computer su cui si trova Risponditore online e disporre di autorizzazioni Gestione CA sul computer su cui si trova la CA, o avere ricevuto in delega l'autorità appropriata.
Registrazione manuale a un certificato Firma risposta OCSP
Per eseguire la registrazione manuale a un certificato Firma risposta OCSP:
Fare clic su Start, digitare mmc, quindi premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Fare clic su Account del computer, quindi fare clic su Avanti.
Selezionare il computer su cui si trova il Risponditore online, fare clic su Fine, quindi fare clic su OK.
Fare doppio clic su Personale e quindi su Certificati.
Individuare eventuali certificati con l'estensione utilizzo chiave avanzato (EKU) di firma OCSP.
Se non è possibile trovare un certificato Firma risposta OCSP, o se il certificato Firma risposta OCSP è scaduto e non è stato registrato un nuovo certificato, eseguire la registrazione manuale di un nuovo certificato. A tale scopo, fare clic con il pulsante destro del mouse su Personale, scegliere Tutte le attività, quindi Richiedi nuovo certificato per avviare la Richiesta guidata certificato.
Utilizzare la procedura guidata per completare il processo di registrazione, selezionando il modello Firma risposta OCSP o un altro modello configurato per il rilascio di certificati Firma risposta OCSP.
Dopo il rilascio, assegnare il certificato alla configurazione di revoca utilizzando la procedura riportata di seguito.
Assegnazione di un certificato a una configurazione di revoca
Per assegnare un certificato a una configurazione di revoca:
Fare clic su Start, selezionare Strumenti di amministrazione, quindi fare clic su Risponditore online.
Nell'albero della console, espandere Configurazione array, quindi fare clic sul nodo del computer su cui è stato registrato l'errore.
Fare clic con il pulsante destro del mouse sulla configurazione di revoca indicata nel registro eventi, quindi fare clic su Assegna un certificato di firma.
Selezionare il certificato e fare clic su OK.
Fare clic su Configurazione di revoca, quindi fare clic con il pulsante destro del mouse sulla configurazione di revoca.
Fare clic su Modifica proprietà, quindi fare clic sulla scheda Firma. Selezionare la casella di controllo Usa automaticamente certificati di firma rinnovati per non riassegnare il certificato di firma alla configurazione di revoca manualmente ogni volta che il certificato di firma viene rinnovato. Se non si desidera che questa assegnazione venga effettuata automaticamente, non selezionare questa casella di controllo.
Al termine, utilizzare la seguente procedura per accertarsi che l'errore non si verifichi nuovamente.
Aggiornamento dei dati di revoca
Per aggiornare le informazioni di revoca per un Risponditore online utilizzando la console snap-in Risponditore online:
Fare clic su Start, selezionare Strumenti di amministrazione, quindi fare clic su Risponditore online.
Fare clic con il pulsante destro del mouse su Configurazione array, quindi scegliere Aggiorna i dati di revoca.
Verificare che non vengano segnalati altri errori.
Fare clic sul nodo Risponditore online e confermare che la configurazione di revoca sia elencata come Funzionante.
In Configurazione array, selezionare il computer su cui si trova Risponditore online che ha registrato l'errore, quindi fare clic sulla configurazione di revoca indicata nell'errore.
Sotto il riquadro dei dettagli, osservare nel riquadro Stato configurazione di revoca lo stato del certificato di firma e il provider di revoca.
Verificare che non vengano segnalati altri errori.
Configurazioni di revoca configurate per la registrazione automatica dei certificati di firma
La procedura precedente presuppone che il certificato Firma risposta OCSP sia stato configurato per la registrazione manuale. Se il modello di certificato Firma risposta OCSP è stato configurato per la registrazione automatica, è necessario verificare che il processo rinnovo non venga impedito da altri problemi.
Per eseguire queste procedure è necessario appartenere al gruppo Administrators locale oppure avere ricevuto in delega l'autorità appropriata.
Verifica dell'accessibilità di una CA
Per verificare che una CA sia accessibile a un client:
Aprire una finestra del prompt dei comandi.
Digitare certutil -ping -config<computer\utente> e premere INVIO.
Nota: se si usa -config, l'operazione viene elaborata usando la CA predefinita. Quando si usa l'opzione -config è necessario specificare il computer o l'utente con il permesso di registrare certificati dalla CA. In caso contrario, viene visualizzata la finestra di dialogo Selezione Autorità di certificazione, contenente un elenco di tutte le CA disponibili.
Verifica della corretta configurazione di un modello di certificato
Per confermare che un modello certificato Firma risposta OCSP sia configurato correttamente:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, digitare Certtmpl.msc e premere INVIO.
Fare clic con il pulsante destro del mouse sul modello Firma risposta OCSP, quindi scegliere Proprietà.
Fare clic sulla scheda Sicurezza.
In Nome utente o gruppo, fare clic su Aggiungi.
Fare clic su Tipi di oggetto, selezionare la casella di controllo Computer, quindi fare clic su OK.
Selezionare o digitare il nome del computer che ospita i servizi Risponditore online o Risponditore Protocollo di stato del certificato in linea (OCSP) e fare clic su OK.
Nella finestra di dialogo Utenti e gruppi, fare clic sul nome del computer.
Nella finestra di dialogo Autorizzazioni, selezionare le caselle di controllo Lettura, Registrazione e Registrazione automatica, quindi fare clic su OK.
Verifica della disponibilità di un modello di certificato per una CA
Per pubblicare un modello di certificato:
Fare clic sul pulsante Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Nell'albero della console, fare clic con il pulsante destro del mouse su Modelli di certificato, fare clic su Nuovo, quindi fare clic su Modello di certificato da rilasciare.
Selezionare il modello di certificato desiderato e fare clic su OK.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 23 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.23" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">23</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>