O serviço Dispositivo de Resposta Online não conseguiu aceder a uma lista de revogação de certificados.
O estado e o funcionamento do serviço Dispositivo de Resposta Online têm dependências em numerosas funções e componentes, incluindo a capacidade para aceder atempadamente a dados de revogação de certificados, a validade do certificado da autoridade de certificação (AC) e da cadeia e a resposta e disponibilidade geral do sistema.
Ativar o acesso a listas de revogação de certificados atuais
Para corrigir este problema:
Na autoridade de certificação (AC), verifique se há erros de publicação na lista de revogação de certificados (CRL).
Se tiver havido um problema na última publicação, volte a publicar as CRLs base e delta mais recentes.
Confirme se os URLs configurados para a configuração de revogação são válidos.
Atualize as informações da configuração de revogação.
Se o erro persistir, ative o CrytpoAPI 2.0 Diagnostics para obter mais informações.
Este procedimento exige que seja membro do grupo dos Administradores locais no computador que aloja o Dispositivo de Resposta Online e possua permissões para gerir a AC no computador que aloja a AC, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Verificar se há erros de publicação da CRL na AC
Para verificar se há erros de publicação da CRL na AC:
Na AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizador de Eventos.
Verifique se há mais mensagens de erro ou avisos relacionados com a publicação da CRL. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=102985.
Resolva os problemas identificados e volte a publicar as CRLs base e delta.
Voltar a publicar CRLs base e delta
Para voltar a publicar CRLs base e delta:
Abra uma janela da linha de comandos na AC.
Escreva certutil -crl e prima ENTER.
Confirme que não há mais mensagens de erro registadas.
Confirmar se os URLs configurados para os pontos de distribuição de CRL base e delta são válidos
Para confirmar se os URLs configurados para os pontos de distribuição de CRL base e delta são válidos:
No computador que aloja o Dispositivo de Resposta Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Dispositivo de Resposta Online.
Selecione o nó da configuração de revogação.
No painel de detalhes, clique com o botão direito do rato na configuração de revogação especificada na descrição da mensagem de erro e clique em Editar Propriedades.
Clique no separador Fornecedor de Revogação e clique em Fornecedor.
Tome nota dos URLs configurados nos URLs das CRLs Base e URLs das CRLs Delta.
Confirme se estes URLs estão acessíveis ao computador com o Dispositivo de Resposta Online e se contêm ficheiros CRL válidos publicados pela AC.
Pode também utilizar o snap-in da Autoridade de Certificação para verificar os URLs nos quais a AC publicará as CRLs base e delta.
Confirmar a relação de pontos de distribuição de CRL para uma AC
Para confirmar a relação de pontos de distribuição de CRL para uma AC:
No computador que aloja a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique no separador Extensões e tome nota dos URLs introduzidos para a extensão do Ponto de Distribuição CRL (CDP). Tome nota dos URLs para os quais Publicar CRLs nesta localização e Publicar CRLs delta nesta localização estão selecionados
Confirme se estas são as mesmas localizações na rede configuradas como CRLs base e delta no snap-in Dispositivo de Resposta Online.
No computador onde a CRL base é publicada, examine a extensão da CRL mais recente para a CRL base. Confirme se isto identifica uma localização onde se encontra a CRL delta.
Volte a publicar a CRL atual, se for necessário, abrindo uma janela da linha de comandos na AC e executando o comando seguinte: certutil -crl.
A seguir confirme se o Dispositivo de Resposta Online pode aceder à CRL. Para fazer isto, abra o snap-in Dispositivo de Resposta Online, clique com o botão direito do rato em Configuração da Matriz e clique em Atualizar Dados de Revogação.
Atualizar informações de revogação
Pode atualizar informações de revogação obtendo uma CRL atualizada. Uma CRL atualizada pode ser obtida:
Utilizando a consola de snap-in dos Serviços para reiniciar o serviço Dispositivo de Resposta Online.
Utilizando o snap-in Dispositivo de Resposta Online para atualizar dados de revogação e confirmar que o erro não aparece.
Para atualizar informações de revogação para um Dispositivo de Resposta Online utilizando a consola do snap-in de Serviços:
No Dispositivo de Resposta Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique nos serviços Dispositivo de Resposta Online e clique em Reiniciar.
Para atualizar informações de revogação para um Dispositivo de Resposta Online utilizando o snap-in Dispositivo de Resposta Online:
No computador que aloja o Dispositivo de Resposta Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Dispositivo de Resposta Online.
Clique com o botão direito do rato em Configuração da Matriz e clique em Atualizar Dados de Revogação.
Confirme que não foram reportados erros adicionais.
Clique no nó do Dispositivo de Resposta Online e confirme se a lista de configuração de revogação está listada como A trabalhar.
Em Configuração da Matriz, selecione o computador do Dispositivo de Resposta Online que registou o erro e depois clique na configuração de revogação nomeada no erro.
No painel de detalhes, consulte o painel do Estado da Configuração de Revogação para saber qual é o estado do certificado de assinatura e do fornecedor de revogação.
Confirme que não foram reportados erros adicionais.
Ativar o CryptoAPI 2.0 Diagnostics
Para ativar o CryptoAPI 2.0 Diagnostics:
No Dispositivo de Resposta Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizador de Eventos.
Na árvore da consola, expanda Visualizador de Eventos, Registos de Serviços e Aplicações, Microsoft, Windows e CAPI2.
Clique com o botão direito do rato em Operacional e clique em Ativar Registo.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique com o botão direito do rato em Serviços de Certificados do Active Directory e clique em Reiniciar.
Dependendo dos resultados dos procedimentos acima e ativando o CryptoAPI 2.0 Diagnostics, certifique-se de que a AC publica as CRLs corretamente e de que estas estão disponíveis para o serviço Dispositivo de Resposta Online.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 16 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.16" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">16</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>