Usługa obiektu odpowiadającego w trybie online nie może uzyskać dostępu do listy odwołania certyfikatów.
Stan i funkcjonowanie usługi obiektu odpowiadającego w trybie online firmy Microsoft zależy od licznych funkcji i składników, w tym możliwości pobierania aktualnych danych o odwołaniu certyfikatów, poprawności certyfikatu i łańcucha certyfikatów urzędu certyfikacji (CA) oraz ogólnej sprawności reagowania i dostępności systemu.
Umożliwienie dostępu do aktualnych list odwołania certyfikatów
Aby rozwiązać ten problem:
Sprawdź, czy urząd certyfikacji (CA) nie zgłaszał błędów publikowania list odwołania certyfikatów (CRL).
Jeśli wystąpił problem z ostatnią publikacją, ponownie opublikuj najnowszą podstawową i różnicową listę CRL.
Upewnij się, że skonfigurowane adresy URL konfiguracji odwołania są prawidłowe.
Odśwież informacje o konfiguracji odwołania.
Jeśli błąd nadal występuje, włącz funkcję diagnostyki CryptoAPI 2.0, aby uzyskać więcej informacji.
Aby wykonać te procedury, trzeba należeć do lokalnej grupy Administratorzy na komputerze udostępniającym obiekt odpowiadający w trybie online i posiadać uprawnienia Zarządzaj urzędem certyfikacji na komputerze udostępniającym urząd certyfikacji (CA), bądź posiadać odpowiednie uprawnienia oddelegowane.
Sprawdzanie, czy urząd certyfikacji zgłaszał błędy publikowania list CRL
Aby sprawdzić, czy urząd certyfikacji zgłaszał błędy publikowania list CRL:
Na komputerze urzędu certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Podgląd zdarzeń.
Sprawdź, czy nie były zgłaszane dodatkowe komunikaty o błędzie lub ostrzeżenia związane z publikowaniem list CRL. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=102985.
Rozwiąż wszelkie zidentyfikowane problemy, a następnie ponownie opublikuj podstawową i różnicową listę CRL.
Ponowne publikowanie podstawowej i różnicowek listy CRL
Aby ponownie opublikować podstawową i różnicową listę CRL:
Otwórz okno wiersza polecenia na komputerze urzędu certyfikacji.
Wpisz polecenie certutil -crl i naciśnij klawisz ENTER.
Upewnij się, że nie zostały zarejestrowane żadne dalsze komunikaty o błędzie.
Sprawdzanie, czy skonfigurowane adresy URL punktów dystrybucji podstawowych i różnicowych list CRL są prawidłowe
Aby sprawdzić, czy skonfigurowane adresy URL punktów dystrybucji podstawowych i różnicowych list CRL są prawidłowe:
Na komputerze udostępniającym obiekt odpowiadający w trybie online kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Obiekt odpowiadający w trybie online.
Wybierz węzeł konfiguracji odwołania.
W okienku szczegółów kliknij prawym przyciskiem myszy konfigurację odwołania podaną w komunikacie o błędzie i kliknij polecenie Edytuj właściwości.
Kliknij kartę Dostawca odwołań, a następnie opcję Dostawca.
Zwróć uwagę na adresy URL skonfigurowane w polach Adresy URL podstawowych list CRL i Adresy URL różnicowych list CRL.
Upewnij się, że te adresy URL są dostępne dla komputera, na którym jest uruchomiony obiekt odpowiadający w trybie online, i że zawierają one prawidłowe pliki list CRL opublikowane przez urząd certyfikacji.
Sprawdzenia adresów URL, pod którymi urząd certyfikacji publikuje podstawowe i różnicowe listy CRL, można też dokonać w przystawce Urząd certyfikacji.
Sprawdzanie relacji między punktami dystrybucji list CRL a urzędem certyfikacji
Aby sprawdzić relację między punktami dystrybucji list CRL a urzędem certyfikacji:
Na komputerze udostępniającym urząd certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Urząd certyfikacji.
Kliknij kartę Rozszerzenia i zanotuj adresy URL podane dla rozszerzenia Punkt dystrybucji listy CRL (CDP). Zwróć uwagę, dla których adresów URL są zaznaczone opcje Publikuj listy CRL do tej lokalizacji i Publikuj różnicowe listy CRL do tej lokalizacji.
Upewnij się, że są to te same lokalizacje sieciowe, które skonfigurowano dla podstawowych i różnicowych listy CRL w przystawce Obiekt odpowiadający w trybie online.
Na komputerze, gdzie publikowana jest podstawowa lista CRL, zbadaj rozszerzenie podstawowej listy CRL Najnowsza lista CRL. Upewnij się, że wskazuje ono lokalizację, w której dostępna jest różnicowa lista CRL.
W razie potrzeby ponownie opublikuj aktualną listę CRL, otwierając okno wiersza polecenia na komputerze urzędu certyfikacji i uruchamiając następujące polecenie: certutil -crl.
Następnie upewnij się, że obiekt odpowiadający w trybie online ma dostęp do listy CRL. W tym celu otwórz przystawkę Obiekt odpowiadający w trybie online, kliknij prawym przyciskiem myszy opcję Konfiguracja macierzy i kliknij opcję Odśwież dane odwołania.
Odświeżanie informacji o odwołaniu
Informacje o odwołaniu można zaktualizować, pobierając zaktualizowaną listę CRL. Dostępne są następujące sposoby pobrania zaktualizowanej listy CRL:
Użycie konsoli przystawki Usługi do ponownego uruchomienia usługi obiektu odpowiadającego w trybie online.
Użycie przystawki Obiekt odpowiadający w trybie online do odświeżenia informacji o odwołaniu i upewnienia się, że nie zostanie wyświetlony błąd.
Aby zaktualizować informacje o odwołaniu dla obiektu odpowiadającego w trybie online za pomocą konsoli przystawki Usługi:
Na komputerze obiektu odpowiadającego w trybie online kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Usługi.
Kliknij opcję Usługi obiektów odpowiadających w trybie online, a następnie opcję Uruchom ponownie.
Aby zaktualizować informacje o odwołaniu dla obiektu odpowiadającego w trybie online za pomocą przystawki Obiekt odpowiadający w trybie online:
Na komputerze udostępniającym obiekt odpowiadający w trybie online kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Obiekt odpowiadający w trybie online.
Kliknij prawym przyciskiem myszy opcję Konfiguracja macierzy, a następnie kliknij polecenie Odśwież dane odwołania.
Upewnij się, że nie zostały zgłoszone żadne dodatkowe błędy.
Kliknij węzeł Obiekt odpowiadający w trybie online i upewnij się, że konfiguracja odwołania jest wymieniona ze stanem Działa.
W obszarze Konfiguracja macierzy wybierz komputer obiektu odpowiadającego w trybie online, na którym został zarejestrowany błąd, a następnie kliknij konfigurację odwołania podaną w komunikacie o błędzie.
W okienku szczegółów zapoznaj się z okienkiem Stan konfiguracji odwołania, aby zobaczyć stan certyfikatu podpisywania i dostawcy odwołań.
Upewnij się, że nie zostały zgłoszone żadne dodatkowe błędy.
Włączanie funkcji diagnostyki CryptoAPI 2.0
Aby włączyć funkcję diagnostyki CryptoAPI 2.0:
Na komputerze obiektu odpowiadającego w trybie online kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Podgląd zdarzeń.
W drzewie konsoli rozwiń kolejno pozycje Podgląd zdarzeń, Dzienniki aplikacji i usług, Microsoft, Windows i CAPI2.
Kliknij prawym przyciskiem myszy opcję Operacyjny, a następnie kliknij polecenie Włącz dziennik.
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Usługi.
Kliknij prawym przyciskiem myszy pozycję Usługi certyfikatów Active Directory, a następnie kliknij polecenie Uruchom ponownie.
W zależności od wyników powyższych procedur oraz od tego, czy włączono funkcję diagnostyki CryptoAPI 2.0, upewnij się, że urząd certyfikacji prawidłowo publikuje listy CRL i że są one dostępne dla usługi obiektu odpowiadającego w trybie online.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 16 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.16" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">16</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>