온라인 응답기 서비스가 인증서 해지 목록에 액세스할 수 없습니다.
Microsoft 온라인 응답기 서비스의 상태 및 작동은 적시에 인증서 해지 데이터에 액세스하는 기능, CA 인증서 및 체인의 유효성, 전반적인 시스템 응답 및 가용성을 비롯한 여러 기능 및 구성 요소에 따라 달라집니다.
현재 인증서 해지 목록에 액세스하도록 설정
이 문제를 해결하려면:
CA(인증 기관)에서 CRL(인증서 해지 목록) 게시 오류가 있는지 확인합니다.
마지막 게시에 문제가 있는 경우 최신 기준 및 델타 CRL을 다시 게시합니다.
해지 구성에 대해 구성된 URL이 유효한지 확인합니다.
해지 구성 정보를 새로 고칩니다.
오류가 지속되는 경우 자세한 내용을 살펴보려면 CrytpoAPI 2.0 진단을 사용하도록 설정하십시오.
이 절차를 수행하려면 온라인 응답기를 호스트하는 컴퓨터의 로컬 관리자 그룹의 구성원이고 CA를 호스트하는 컴퓨터에 대한 CA 관리 권한이 있거나 적절한 권한을 위임받아야 합니다.
CA에 CRL 게시 오류가 있는지 확인
CA에 CRL 게시 오류가 있는지 확인하려면:
CA에서 시작을 클릭하고 관리 도구를 가리킨 후 이벤트 뷰어를 클릭합니다.
CRL 게시와 관련된 추가 오류 메시지 또는 경고가 있는지 확인합니다. 자세한 내용은 http://go.microsoft.com/fwlink/?LinkId=102985를 참조하세요.
식별된 모든 문제를 해결하고 기준 CRL과 델타 CRL을 둘 다 다시 게시합니다.
기준 및 델타 CRL 다시 게시
기준 및 델타 CRL을 다시 게시하려면:
CA에서 명령 프롬프트 창을 엽니다.
certutil -crl을 입력하고 Enter 키를 누릅니다.
기록된 추가 오류 메시지가 없는지 확인합니다.
기준 및 델타 CRL 배포 지점으로 구성된 URL이 유효한지 확인
기준 및 델타 CRL 배포 지점으로 구성된 URL이 유효한지 확인하려면:
온라인 응답기를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 후 온라인 응답기를 클릭합니다.
해지 구성 노드를 선택합니다.
세부 정보 창에서 오류 메시지 설명에서 지정된 해지 구성을 마우스 오른쪽 단추로 클릭하고 속성 편집을 클릭합니다.
해지 공급자 탭을 클릭한 다음 공급자를 클릭합니다.
기준 CRL URL 및 델타 CRL URL에서 구성된 URL을 확인하십시오.
온라인 응답기를 실행 중인 컴퓨터에서 이러한 URL에 액세스할 수 있고 이러한 URL에 CA에서 게시한 유효한 CRL 파일을 포함되어 있는지 확인합니다.
인증 기관 스냅인을 사용하여 CA에서 기준 및 델타 CRL을 게시할 URL을 확인할 수도 있습니다.
CA와 CRL 배포 지점과의 관계 확인
CA와 CRL 배포 지점과의 관계를 확인하려면:
CA를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 다음 인증 기관을 클릭합니다.
확장 탭을 클릭하고 CDP(CRL 배포 지점) 확장에 대해 입력된 URL을 확인합니다. 이 위치로 CRL을 게시 및 이 위치로 델타 CRL을 게시가 선택된 URL을 확인합니다.
이러한 URL이 온라인 응답기 스냅인에서 기준 및 델타 CRL로 구성된 동일한 네트워크 위치인지 확인합니다.
기준 CRL이 게시된 컴퓨터에서 기준 CRL에 대한 최신 CRL 확장을 검토합니다. 이 확장이 델타 CRL을 찾을 수 있는 위치를 나타내는지 확인합니다.
필요한 경우 CA에서 명령 프롬프트 창을 열고 certutil -crl 명령을 실행하여 현재 CRL을 게시합니다.
그런 다음 온라인 응답기에서 CRL에 액세스할 수 있는지 확인합니다. 이렇게 하려면 온라인 응답기 스냅인을 열고 배열 구성을 마우스 오른쪽 단추로 클릭한 다음 해지 데이터 새로 고침을 클릭합니다.
해지 정보 새로 고침
업데이트된 CRL을 검색하여 해지 정보를 업데이트할 수 있습니다. 업데이트된 CRL은 다음과 같이 검색할 수 있습니다.
서비스 스냅인 콘솔을 사용하여 온라인 응답기 서비스 다시 시작
온라인 응답기 스냅인을 사용하여 해지 데이터를 갱신하고 오류가 있지 않은지 확인
서비스 스냅인 콘솔을 사용하여 온라인 응답기에 대한 해지 정보를 업데이트하려면:
온라인 응답기에서 시작을 클릭하고 관리 도구를 가리킨 후 서비스를 클릭합니다.
온라인 응답기 서비스를 클릭하고 다시 시작을 클릭합니다.
온라인 응답기 스냅인을 사용하여 온라인 응답기에 대한 해지 정보를 업데이트하려면:
온라인 응답기를 호스트하는 컴퓨터에서 시작을 클릭하고 관리 도구를 가리킨 후 온라인 응답기를 클릭합니다.
배열 구성을 마우스 오른쪽 단추로 클릭하고 해지 데이터 새로 고침을 클릭합니다.
보고된 추가 오류가 없는지 확인합니다.
온라인 응답기 노드를 클릭하고 해지 구성이 작동 중으로 표시되었는지 확인합니다.
배열 구성에서 오류를 기록하는 온라인 응답기 컴퓨터를 선택한 다음 오류에서 명명된 해지 구성을 클릭합니다.
세부 정보 창의 해지 구성 상태 창에서 서명 인증서 및 해지 공급자의 상태를 확인합니다.
보고된 추가 오류가 없는지 확인합니다.
CryptoAPI 2.0 진단 사용
CryptoAPI 2.0 진단을 사용하려면:
온라인 응답기에서 시작을 클릭하고 관리 도구를 가리킨 후 이벤트 뷰어를 클릭합니다.
콘솔 트리에서 이벤트 뷰어, 응용 프로그램 및 서비스 로그, Microsoft, Windows 및 CAPI2를 차례로 확장합니다.
작동을 마우스 오른쪽 단추로 클릭하고 로그 사용을 클릭합니다.
시작을 클릭하고 관리 도구를 가리킨 다음 서비스를 클릭합니다.
AD CS(Active Directory 인증서 서비스)를 마우스 오른쪽 단추로 클릭하고 다시 시작을 클릭합니다.
위 절차의 결과에 따라 CryptoAPI 2.0 진단을 사용하도록 설정하고 CA가 CRL을 제대로 게시하여 온라인 응답기 서비스에 사용할 수 있는지 확인합니다.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 16 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.16" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">16</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>