El servicio "Respondedor en línea" no ha podido acceder a una lista de revocación de certificados.
El estado y el funcionamiento del servicio "Respondedor en línea" de Microsoft depende de un gran número de características y componentes, entre los que se incluyen la capacidad para acceder a tiempo a los datos de revocación de certificados, la validez del certificado y la cadena de la entidad de certificación (CA) y la respuesta y disponibilidad total del sistema.
Habilitar acceso a las listas de revocación de certificados
Para corregir este problema:
En la entidad de certificación (CA), compruebe los errores de publicación de la lista de revocación de certificados (CRL).
Si se produjo un problema durante la última publicación, vuelva a publicar las últimas CRL de base y de diferencias.
Confirme que las direcciones URL configuradas para la configuración de revocación sean válidas.
Actualice la información de configuración de revocación.
Si se repite el error, habilite CryptoAPI 2.0 Diagnostics para obtener más información.
Para ejecutar estos procedimientos debe ser miembro del grupo local "Administradores" en el equipo que hospede el Respondedor en línea y disponer de permisos para administrar CA en el equipo que hospede la CA, o bien haber delegado la autoridad adecuada.
Comprobación de errores de publicación de CRL en la CA
Para comprobar si hay errores de publicación de CRL en la CA:
En la CA, haga clic en "Inicio", seleccione "Herramientas administrativas" y, a continuación, haga clic en "Visor de eventos".
Compruebe si hay mensajes de error o advertencias adicionales relacionados con la publicación de CRL. Para obtener más información, consulte http://go.microsoft.com/fwlink/?LinkId=102985.
Solucione los problemas identificados y vuelva a publicar las CRL de base y de diferencias.
Volver a publicar CRL de base y de diferencias
Para volver a publicar CRL de base y de diferencias:
Abra una ventana del símbolo del sistema en la CA.
Escriba certutil -crl y presione ENTRAR.
Confirme que no se han registrado más mensajes de error.
Confirmación de que las direcciones URL configuradas para los puntos de distribución de CRL son válidas
Para confirmar que las direcciones URL configuradas para los puntos de distribución de CRL son válidas:
En el equipo donde se hospeda el Respondedor en línea, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Respondedor en línea.
Seleccione el nodo de configuración de revocación.
En el panel de detalles, haga clic con el botón secundario en la configuración de revocación especificada en la descripción del mensaje de error y haga clic en "Editar propiedades".
Haga clic en la ficha "Proveedor de revocación" y seleccione "Proveedor".
Anote las direcciones URL configuradas en las URL de las CRL de base y de diferencias.
Confirme que el equipo que ejecuta el Respondedor en línea puede acceder correctamente a las direcciones URL y que estas contienen archivos CRL válidos publicados por la CA.
También puede usar el complemento "Entidad de certificación" para comprobar las direcciones URL donde la CA publicará las CRL de base y de diferencias.
Confirmación de la relación entre los puntos de distribución de CRL y una CA
Para confirmar la relación entre los puntos de distribución de CRL y una CA:
En el equipo donde se hospede la CA, haga clic en Inicio, seleccione Herramientas administrativas y, a continuación, haga clic en Entidad de certificación.
Haga clic en la ficha "Extensiones" y anote las direcciones URL generadas por la extensión Punto de distribución CRL (CDP). Anote las direcciones URL donde estén seleccionadas las opciones "Publicar las listas de revocación de certificados (CRL) en esta ubicación" y "Publicar diferencias CRL en esta ubicación".
Confirme que estas sean las mismas ubicaciones de red configuradas como CRL de base y de diferencias en el complemento "Respondedor en línea".
En el equipo donde se publica la CRL base, examine la extensión CRL más actualizada de la CRL base. Confirme que identifica una ubicación donde se encuentra la CRL de diferencias.
Si fuera necesario, vuelva a publicar la CRL actual abriendo una ventana del símbolo del sistema en la CA y ejecutando el comando siguiente: certutil -crl.
A continuación, confirme que el Respondedor en línea puede acceder a la CRL. Para ello, abra el complemento Respondedor en línea, haga clic con el botón secundario en Configuración de la matriz y seleccione Actualizar datos de revocación.
Actualización de la información de revocación
Para actualizar la información de revocación, recupere una CRL actualizada. Para recuperar CRL actualizadas:
Use la consola del complemento Servicios para reiniciar el servicio "Respondedor en línea".
Use el complemento "Respondedor en línea" para actualizar los datos de revocación y confirmar que el error no aparezca.
Para actualizar la información de revocación de un Respondedor en línea mediante la consola del complemento Servicios:
En el Respondedor en línea, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Servicios.
Haga clic en Servicios del Respondedor en línea y en Reiniciar.
Para actualizar la información de revocación de un Respondedor en línea mediante el complemento Respondedor en línea:
En el equipo donde se hospeda el Respondedor en línea, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Respondedor en línea.
Haga clic con el botón secundario en Configuración de la matriz y haga clic en Actualizar datos de revocación.
Confirme que no se hayan detectado errores adicionales.
Haga clic en el nodo "Respondedor en línea" y confirme que la configuración de revocación funcione correctamente.
En Configuración de la matriz, seleccione el equipo del Respondedor en línea que registró el error y, a continuación, haga clic en la configuración de revocación que aparezca en el error.
En el panel de detalles, consulte el estado del certificado de firma y del proveedor de revocación en el panel "Estado de configuración de revocación".
Confirme que no se hayan detectado errores adicionales.
Habilitación de CryptoAPI 2.0 Diagnostics
Para habilitar CryptoAPI 2.0 Diagnostics:
En el Respondedor en línea, haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Visor de eventos.
En el árbol de consola, amplíe Visor de eventos, Registros de aplicaciones y servicios, Microsoft, Windows y CAPI2.
Haga clic con el botón secundario en Operativo y seleccione la opción Habilitar registro.
Haga clic en Inicio, seleccione Herramientas administrativas y haga clic en Servicios.
Haga clic con el botón secundario en Servicios de certificados de Active Directory y haga clic en Reiniciar.
Según los resultados de los procedimientos anteriores y después de habilitar CryptoAPI 2.0 Diagnostics, compruebe que la CA publica correctamente las CRL y que estas están disponibles en el servicio "Respondedor en línea".
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 16 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.16" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">16</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>