Nie można znaleźć certyfikatu podpisywania usługi obiektu odpowiadającego w trybie online.
Stan i funkcjonowanie usługi obiektu odpowiadającego w trybie online firmy Microsoft zależy od licznych funkcji i składników, w tym możliwości pobierania aktualnych danych o odwołaniu certyfikatów, poprawności certyfikatu i łańcucha certyfikatów urzędu certyfikacji (CA) oraz ogólnej sprawności reagowania i dostępności systemu.
Zarejestrowanie prawidłowo skonfigurowanego certyfikatu podpisywania odpowiedzi protokołu OCSP
Funkcjonowanie obiektu odpowiadającego w trybie online wymaga prawidłowego certyfikatu podpisywania odpowiedzi protokołu OCSP.
Jeśli możliwe jest zlokalizowanie prawidłowego certyfikatu podpisywania odpowiedzi protokołu OCSP w odpowiednim magazynie certyfikatów osobistych na komputerze udostępniającym obiekt odpowiadający w trybie online, problem można rozwiązać, przypisując certyfikat do konfiguracji odwołania i odświeżając dane odwołania.
Jeśli jednak certyfikat podpisywania odpowiedzi protokołu OCSP nie jest dostępny, sposób rozwiązywania problemów z certyfikatami podpisywania odpowiedzi protokołu OCSP zależy od tego, czy skonfigurowano automatyczne, czy ręczne rejestrowanie certyfikatów.
W przypadku konfiguracji odwołania używających ręcznej rejestracji certyfikatów podpisywania wykonaj następujące czynności:
Jeśli certyfikat podpisywania odpowiedzi protokołu OCSP nie istnieje, wykonaj procedurę opisaną w sekcji „Ręczne rejestrowanie certyfikatu podpisywania odpowiedzi protokołu OCSP”.
Następnie wykonaj procedurę opisaną w sekcji „Przypisywanie certyfikatu do konfiguracji odwołania”.
Wykonaj procedurę opisaną w sekcji „Odświeżanie danych odwołania”.
W przypadku konfiguracji odwołania używających automatycznego rejestrowania certyfikatów podpisywania rejestracja powinna odbywać się bez udziału użytkownika. Oznacza to, że jeśli certyfikat nie istnieje, jego rejestracja jest prawdopodobnie blokowana z jakiegoś powodu. Sprawdź, czy w dzienniku zdarzeń zostały zarejestrowane dodatkowe błędy lub ostrzeżenia związane z tym błędem. Jeśli nie są dostępne żadne inne informacje, wykonaj następujące działania:
Wykonaj procedurę opisaną w sekcji „Potwierdzanie dostępności urzędu certyfikacji”, aby upewnić się, że komputer udostępniający usługę obiektu odpowiadającego w trybie online może nawiązać połączenie z urzędem certyfikacji (CA).
Wykonaj procedurę opisaną w sekcji „Sprawdzanie, czy szablon certyfikatów jest prawidłowo skonfigurowany”.
Wykonaj procedurę opisaną w sekcji „Sprawdzanie, czy szablon certyfikatów jest dostępny dla urzędu certyfikacji”.
Wykonaj procedurę opisaną w sekcji „Odświeżanie danych odwołania”, aby upewnić się, że błąd nie pojawi się ponownie.
Aby wykonać te procedury, trzeba należeć do lokalnej grupy Administratorzy na każdym komputerze udostępniającym obiekt odpowiadający w trybie online i posiadać uprawnienia Zarządzaj urzędem certyfikacji na komputerze udostępniającym urząd certyfikacji (CA), bądź posiadać odpowiednie uprawnienia oddelegowane.
Ręczne rejestrowanie certyfikatu podpisywania odpowiedzi protokołu OCSP
Aby ręcznie zarejestrować certyfikat podpisywania odpowiedzi protokołu OCSP:
Kliknij przycisk Start, wpisz polecenie mmc, a następnie naciśnij klawisz ENTER.
Jeśli pojawi się okno dialogowe Kontrola konta użytkownika, potwierdź, że wyświetlana akcja jest odpowiednia, i kliknij przycisk Kontynuuj.
W menu Plik kliknij polecenie Dodaj/Usuń przystawkę, kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
Kliknij pozycję Konto komputera, a następnie przycisk Dalej.
Wybierz komputer hostujący obiekt odpowiadający w trybie online, kliknij pozycję Zakończ, a następnie kliknij przycisk OK.
Dwukrotnie kliknij opcję Osobiste, a następnie opcję Certyfikaty.
Odszukaj wszelkie certyfikaty z rozszerzeniem ulepszonego użycia klucza (EKU) do podpisywania odpowiedzi protokołu OCSP.
Jeśli nie uda się znaleźć certyfikatu podpisywania odpowiedzi protokołu OCSP lub jeśli certyfikat podpisywania odpowiedzi protokołu OCSP wygasł, a nowy certyfikat nie został zarejestrowany, ręcznie zarejestruj nowy certyfikat. W tym celu kliknij prawym przyciskiem myszy opcję Osobiste, wskaż polecenie Wszystkie zadania i kliknij opcję Żądaj nowego certyfikatu, aby uruchomić Kreatora żądania certyfikatu.
Przejdź proces rejestracji z pomocą kreatora, wybierając szablon podpisywania odpowiedzi protokołu OCSP lub inny szablon, którego konfiguracja umożliwia wystawianie certyfikatów podpisywania odpowiedzi protokołu OCSP.
Po wystawieniu certyfikatu przypisz go do konfiguracji odwołania, używając następującej procedury.
Przypisywanie certyfikatu do konfiguracji odwołania
Aby przypisać certyfikat do konfiguracji odwołania:
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Obiekt odpowiadający w trybie online.
W drzewie konsoli rozwiń pozycję Konfiguracja macierzy i kliknij węzeł komputera, na którym został zarejestrowany błąd.
Kliknij prawym przyciskiem myszy konfigurację odwołania podaną w dzienniku zdarzeń i kliknij polecenie Przypisz certyfikat podpisywania.
Wybierz certyfikat i kliknij przycisk OK.
Kliknij opcję Konfiguracja odwołania, a następnie kliknij prawym przyciskiem myszy konfigurację odwołania.
Kliknij polecenie Edytuj właściwości, a następnie kartę Podpisywanie. Zaznacz pole wyboru Automatycznie użyj odnowionych certyfikatów podpisywania, aby uniknąć ręcznego przypisywania certyfikatu podpisywania do konfiguracji odwołania przy każdym odnowieniu certyfikatu podpisywania. Jeśli nie jest pożądane automatyczne wykonywanie tego przypisania, nie zaznaczaj tego pola wyboru.
Po zakończeniu wykonaj następującą procedurę, aby upewnić się, że błąd nie wystąpi ponownie.
Odświeżanie danych odwołania
Aby odświeżyć informacje o odwołaniu dla obiektu odpowiadającego w trybie online za pomocą przystawki Obiekt odpowiadający w trybie online:
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Obiekt odpowiadający w trybie online.
Kliknij prawym przyciskiem myszy opcję Konfiguracja macierzy, a następnie kliknij polecenie Odśwież dane odwołania.
Upewnij się, że nie zostały zgłoszone żadne dodatkowe błędy.
Kliknij węzeł Obiekt odpowiadający w trybie online i upewnij się, że konfiguracja odwołania jest wymieniona ze stanem Działa.
W obszarze Konfiguracja macierzy wybierz komputer obiektu odpowiadającego w trybie online, na którym został zarejestrowany błąd, a następnie kliknij konfigurację odwołania podaną w komunikacie o błędzie.
W okienku szczegółów zapoznaj się z okienkiem Stan konfiguracji odwołania, aby zobaczyć stan certyfikatu podpisywania i dostawcy odwołań.
Upewnij się, że nie zostały zgłoszone żadne dodatkowe błędy.
Konfiguracje odwołania ze skonfigurowanym automatycznym rejestrowaniem certyfikatów podpisywania
W poprzedniej procedurze założono, że jest skonfigurowane ręczne rejestrowanie certyfikatu podpisywania odpowiedzi protokołu OCSP. Jeśli w szablonie certyfikatu podpisywania odpowiedzi protokołu OCSP skonfigurowano automatyczne rejestrowanie, konieczne będzie sprawdzenie, czy nie występują inne problemy blokujące proces odnowienia.
Aby wykonać te procedury, trzeba być członkiem lokalnej grupy Administratorzy lub mieć odpowiednie uprawnienia oddelegowane.
Sprawdzanie dostępności urzędu certyfikacji
Aby upewnić się, że klient ma dostęp do urzędu certyfikacji:
Otwórz okno wiersza polecenia.
Wpisz polecenie certutil -ping -config<komputer\użytkownik> i naciśnij klawisz ENTER.
Uwaga: jeśli użyjesz opcji -config -, operacja zostanie przetworzona z użyciem domyślnego urzędu certyfikacji. W przypadku użycia opcji -config musisz wskazać komputer lub użytkownika z uprawnieniami do rejestrowania certyfikatów w danym urzędzie certyfikacji. W przeciwnym razie zostanie wyświetlone okno dialogowe Wybieranie urzędu certyfikacji z listą wszystkich dostępnych urzędów certyfikacji.
Sprawdzanie, czy szablon certyfikatów jest prawidłowo skonfigurowany
Aby sprawdzić, czy szablon certyfikatów podpisywania odpowiedzi protokołu OCSP jest prawidłowo skonfigurowany:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wpisz polecenie Certtmpl.msc i naciśnij klawisz ENTER.
Kliknij prawym przyciskiem myszy szablon podpisywania odpowiedzi protokołu OCSP, a następnie kliknij polecenie Właściwości.
Kliknij kartę Zabezpieczenia.
W polu Nazwa grupy lub użytkownika kliknij przycisk Dodaj.
Kliknij opcję Typy obiektów, zaznacz pole wyboru Komputery i kliknij przycisk OK.
Wpisz nazwę komputera udostępniającego obiekt odpowiadający w trybie online lub usługi obiektów odpowiadających protokołu stanu certyfikatów online (OCSP) bądź wyszukaj i wybierz ten komputer, a następnie kliknij przycisk OK.
W oknie dialogowym Nazwy grupy lub użytkownika kliknij nazwę komputera.
W oknie dialogowym Uprawnienia zaznacz pola wyboru Odczyt, Rejestrowanie się i Autorejestrowanie, a następnie kliknij przycisk OK.
Sprawdzanie, czy szablon certyfikatów jest dostępny dla urzędu certyfikacji
Aby opublikować szablon certyfikatów:
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
W drzewie konsoli kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, kliknij polecenie Nowy, a następnie kliknij opcję Szablon certyfikatu do wystawienia.
Wybierz szablon certyfikatu i kliknij przycisk OK.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 23 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.23" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">23</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>