De Online Responder-service heeft geen toegang tot een certificaatintrekkingslijst.
De status en het functioneren van de Microsoft Online Responder-service is afhankelijk van talloze factoren, waaronder de mogelijkheid om tijdig toegang te krijgen tot certificaatintrekkingsgegevens, de geldigheid van het certificaat en de keten van de certificeringsinstantie (CA) en de response en beschikbaarheid van het systeem.
De toegang tot de huidige certificaatintrekkingslijsten inschakelen
Corrigeer dit probleem als volgt:
Controleer de certificeringsinstantie (CA) op publicatiefouten in de certificaatintrekkingslijst (CRL).
Als zich een probleem heeft voorgedaan bij de laatste publicatie, publiceert u de meest recente basis- en delta-CRL's opnieuw.
Controleer of de URL's die zijn geconfigureerd voor de intrekkingsconfiguratie, geldig zijn.
Vernieuw de gegevens van de intrekkingsconfiguratie.
Als de fout blijft bestaan, schakelt u CrytpoAPI 2.0 Diagnostics in voor meer informatie.
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep lokale administrators op de computer die als host voor de Online Responder optreedt en machtiging CA beheren hebben of moet aan u de juiste bevoegdheid zijn gedelegeerd.
Controleren op CRL-publicatiefouten in de certificeringsinstantie (CA)
Ga als volgt te werk om op CRL-publicatiefouten te controleren in de certificeringsinstantie (CA):
Klik in de CA op Start, wijs Systeembeheer aan en klik op Logboeken.
Controleer op andere foutberichten of waarschuwingen met betrekking tot de publicatie van CRL's. Zie http://go.microsoft.com/fwlink/?LinkId=102985 voor meer informatie.
Los alle geïdentificeerde problemen op en publiceer zowel de basis- als de delta-CRL opnieuw.
Basis- en delta-CRL opnieuw publiceren
Ga als volgt te werk om de basis- en delta-CRL's opnieuw te publiceren:
Open een opdrachtpromptvenster op de CA.
Typ certutil -crl en druk op ENTER.
Controleer of er verder geen foutberichten in het logboek zijn vastgelegd.
Controleren of de URL's die zijn geconfigureerd voor basis- en delta-CRL-distributiepunten, geldig zijn
Ga als volgt te werk om te controleren of de URL's die zijn geconfigureerd voor basis- en delta-CRL-distributiepunten, geldig zijn:
Klik op de computer die als host van de Online Responder optreedt op Start, wijs Systeembeheer aan en klik op Online Responder.
Selecteer het knooppunt van intrekkingsconfiguraties.
Klik in het detailvenster met de rechtermuisknop op de intrekkingsconfiguratie die in de beschrijving van het foutbericht wordt vermeld en klik op Eigenschappen bewerken.
Klik op het tabblad Intrekkingsprovider en klik vervolgens op Provider.
Bekijk de URL's die zijn geconfigureerd in ???URL's basis-CRL en URL's delta-CRL.
Controleer of deze URL's toegankelijk zijn voor de computer waarop de Online Responder wordt uitgevoerd en of ze geldige CRL-bestanden die door de CA zijn gepubliceerd.
U kunt ook de module Certificeringsinstantie gebruiken om de URL's te controleren waar de CA basis- en delta-CRL's publiceert.
De relatie tussen CRL-distributiepunten en een CA controleren
Ga als volgt te werk om de relatie tussen CRL-distributiepunten en een CA te controleren:
Klik op de computer die als host van de CA optreedt, op Start, wijs Systeembeheer aan en klik op Certificeringsinstantie.
Klik op het tabblad Extensies en bekijk de URL's die zijn ingevoerd voor de extensie CRL-distributiepunt (CDP). Bekijk de URL's waarvoor de opties CRL's op deze locatie publiceren en Delta-CRL's op deze locatie publiceren zijn geselecteerd.
Controleer of dit dezelfde URL's zijn als de netwerklocaties die als basis- en delta-CRL's in de module Online Responder zijn geconfigureerd.
Bekijk op de computer waarop de basis-CRL is gepubliceerd, de extensie Meest recente CRL voor de basis-CRL. Controleer of deze een locatie aangeeft waar de delta-CRL kan worden gevonden.
Publiceer indien nodig de huidige CRL door een opdrachtpromptvenster te openen op de CA en de volgende opdracht uit te voeren: certutil -crl.
Controleer vervolgens of de Online Responder toegang heeft tot de CRL. Open hiertoe de module Online Responder, klik met de rechtermuisknop op Matrixconfiguratie en klik op Intrekkingsgegevens vernieuwen.
Intrekkingsgegevens vernieuwen
U kunt intrekkingsgegevens bijwerken door een bijgewerkte CRL op te halen. Een bijgewerkte CRL worden opgehaald met:
via de console van de module Services om de Online Responder-service opnieuw te starten.
via de module Online Responder om de intrekkingsgegevens en vernieuwen en te controleren of de fout niet optreedt.
Ga als volgt te werk om de intrekkingsgegevens voor een Online Responder bij te werken via de console van de module Services:
Klik op de Online Responder op Start, wijs Systeembeheer aan en klik op Services.
Klik op Online Responder-services en klik op Opnieuw starten.
Ga als volgt te werk om de intrekkingsgegevens voor een Online Responder bij te werken met de module Online Responder:
Klik op de computer die als host van de Online Responder optreedt op Start, wijs Systeembeheer aan en klik op Online Responder.
Klik met de rechtermuisknop op Matrixconfiguratie en klik op Intrekkingsgegevens vernieuwen.
Controleer of er geen nieuwe fouten worden weergegeven.
Klik op het knooppunt van de Online Responder en controleer of bij de intrekkingsconfiguratie ???Actief wordt weergegeven.
Selecteer onder Matrixconfiguratie de Online Responder-computer die de fout heeft vastgelegd en klik vervolgens op de intrekkingsconfiguratie die in de fout wordt genoemd.
Bekijk onder het detailvenster het deelvenster Status van de intrekkingsconfiguratie voor de status van het handtekeningcertificaat en de intrekkingsprovider.
Controleer of er geen nieuwe fouten worden weergegeven.
CryptoAPI 2.0 Diagnostics inschakelen
U schakelt CryptoAPI 2.0 Diagnostics als volgt in:
Klik op de Online Responder op Start, wijs Systeembeheer aan en klik op Logboeken.
Vouw in de consolestructuur achtereenvolgens Logboeken, Logboeken Toepassingen en Services, Microsoft, Windows en CAP12 uit.
Klik met de rechtermuisknop op Operationeel en klik op Logboek inschakelen.
Klik op Start, wijs Systeembeheer aan en klik op Services.
Klik met de rechtermuisknop op Active Directory Certificate Services en klik op Opnieuw starten.
Zorg ervoor, afhankelijk van de resultaten van de bovenstaande procedures en het inschakelen van CryptoAPI 2.0 Diagnostics, dat de CA de CRL's goed publiceert en dat ze beschikbaar zijn voor de Online Responder-service.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 16 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.16" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">16</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>