Servizio Risponditore online: impossibile eseguire l'inizializzazione dei contatori delle prestazioni.
La convalida della catena o del percorso è il processo mediante il quale vengono elaborati i certificati delle entità finali (utente o computer) e tutti i certificati dell'autorità di certificazione (CA) gerarchicamente fino a quando la catena di certificati termina con un certificato autofirmato attendibile. In genere, si tratta di un certificato della CA radice. L'avvio di Servizi certificati Active Directory (AD CS) potrebbe non riuscire se ci sono problemi di disponibilità, validità e convalida della catena per il certificato CA.
Caricamento e verifica di un certificato CA e di una catena validi
Per consentire la convalida della catena di certificati è necessario verificare che sia accessibile un certificato valido di un'autorità di certificazione (CA). È possibile risolvere i problemi associati all'individuazione di certificato CA valido verificando che:
Sia disponibile un certificato CA valido sul computer su cui si trova la CA.
Esista un certificato CA valido nel contenitore AIA.
La catena di certificati CA possa essere convalidata.
Se un elenco di revoche di certificati (CRL) per una CA della catena è scaduto, viene generato un nuovo CRL.
Per eseguire queste procedure è necessario disporre dell'autorizzazione Gestione CA oppure avere ricevuto in delega l'autorità appropriata.
Verificare che esista un certificato CA valido nel computer in cui si trova la CA
Per verificare che sia disponibile un certificato CA valido nel computer in cui si trova la CA:
Fare clic su Start, digitare mmc, quindi premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Fare clic su Account del computer, quindi fare clic su Avanti.
Fare clic su Fine, quindi fare clic su OK.
Nell'albero della console fare clic su Certificati (computer locale), quindi fare clic su Personale.
Verificare che in questo archivio sia presente un certificato CA non scaduto.
Verificare che esista un certificato CA valido nel contenitore AIA
Per verificare che esista un certificato CA valido nel contenitore AIA:
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Siti e servizi di Active Directory.
Fare clic su Siti e servizi di Active Directory [nomedominio].
Nel menu Visualizza, fare clic su Mostra nodo servizi.
Fare doppio clic su Services, fare doppio clic su Public Key Services, quindi fare clic su AIA.
Verificare che nel contenitore AIA sia presente un certificato CA non scaduto.
Verificare la catena di certificati CA
Per verificare una catena di certificati CA:
Aprire una finestra del prompt dei comandi.
Digitare certutil -urlfetch -verify nel certificato CA, quindi premere INVIO.
Verificare che i percorsi di rete del contenitore AIA e del punto di distribuzione CRL siano disponibili, che tutti i certificati della catena siano validi e non revocati e che siano disponibili CRL validi.
Se i percorsi di rete dell'AIA o del punto di distribuzione CRL non sono disponibili, identificare e risolvere il problema che impedisce di accedervi.
Se uno o più certificati della catena sono scaduti o sono stati revocati, rinnovare questi certificati. Se è necessario riemettere un certificato CA, tutti i certificati nella catena che si trovano al di sotto di tale certificato dovranno essere riemessi.
Se un CRL per un CA della catena è scaduto, generare nuovi Base CRL e Delta CRL in questa CA e copiarli nei percorsi necessari.
Se la CA è offline, potrebbe essere necessario riavviarla.
Controllare e pubblicare i CRL
Per controllare e, se necessario, pubblicare nuovi CRL:
Nella CA che costituisce l'origine del problema controllare il CRL pubblicato corrente, che per impostazione predefinita viene creato nella cartella %windir%\System32\CertSrv\CertEnroll.
Se i CRL attualmente in questo percorso sono scaduti o non sono validi, aprire una finestra del prompt dei comandi, digitare certutil -CRL e premere INVIO per pubblicare un nuovo CRL.
Per generare nuovi Delta CRL e Base CRL:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi selezionare Autorità di certificazione.
Nell'albero della console fare clic su Certificati revocati.
Nel menu Azione, scegliere Tutte le attività, quindi fare clic su Pubblica.
Selezionare Nuovo CRL per sovrascrivere il CRL precedentemente pubblicato, oppure selezionare Solo Delta CRL per pubblicare un Delta CRL corrente.
Per creare un CRL utilizzando lo strumento della riga di comando Certutil:
Nel computer in cui si trova la CA fare clic sul pulsante Start, digitare cmd e premere INVIO.
Digitare certutil-CRL e premere INVIO.
Per pubblicare CRL sui Servizi di dominio Active Directory utilizzando lo strumento della riga di comando Certutil:
Aprire una finestra del prompt dei comandi.
Digitare certutil -dspublish "<nomeCRL.crl>" ldap:///CN=<nome CA>,CN=<nome host CA>,CN=CDP,CN=Public Key Services,CN=Services,CN=Configuration,DC=<contoso>,DC=<com>?certificateRevocationList?base?objectClass=cRLDistributionPoint e premere INVIO.
Sostituire crlname.crl con il nome del file CRL, il nome CA e il nome host con il nome della CA in uso e il nome dell'host su cui è in esecuzione la CA, e contoso e com con lo spazio dei nomi del proprio dominio Active Directory.
Per verificare che il certificato e la catena dell'autorità di certificazione (CA) siano validi:
Sul computer su cui si trova la CA, fare clic sul pulsante Start, digitare mmc e premere INVIO.
Se viene visualizzata la finestra di dialogo Controllo account utente, verificare che l'azione visualizzata sia quella desiderata, quindi fare clic su Continua.
Nel menu File fare clic su Aggiungi/Rimuovi snap-in, fare clic su Certificati, quindi fare clic su Aggiungi.
Fare clic su Account del computer, quindi fare clic su Avanti.
Fare clic su Fine, quindi fare clic su OK.
Nell'albero della console, fare clic su Certificati (computer locale), quindi fare clic su Personale.
Verificare che in questo archivio sia presente un certificato CA non scaduto.
Fare clic con il pulsante destro del mouse su questo certificato e selezionare Esporta per avviare l'Esportazione guidata certificati.
Esportare il certificato in un file denominato Cert.cer.
Digitare Start, cmd e premere INVIO.
Digitare certutil -urlfetch -verify <cert.cer> e premere INVIO.
Se non vengono segnalati errori di convalida, creazione della catena, o rilevamento revoche, la catena è valida.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 31 |
Event Source | Microsoft-Windows-OnlineResponder |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.31" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">31</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponder</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>