Onlinesvarartjänsten kunde inte få åtkomst till en certifikatåterkallningslista.
Status och funktion hos Microsofts onlinesvarartjänst är beroende av ett flertal funktioner och komponenter, inklusive åtkomst av punktliga återkallningsdata för certifikat, certifikatutfärdarcertifikatets (CA) och kedjans giltighet och övergripande systemsvar och tillgänglighet.
Aktivera åtkomst till aktuella certifikatåterkallningslistor
Korrigera detta problem:
Sök efter publiceringsfel på listan över återkallade certifikat (CRL) på certifikatutfärdaren (CA).
Om det fanns problem med den senaste publikationen publicerar du de senaste bas-och delta-CRL:erna.
Bekräfta att URL:erna som konfigurerades för återkallningskonfigurationen är giltiga.
Uppdatera informationen för återkallningskonfigurationen.
Om felet kvarstår aktiverar du CryptoAPI 2.0-diagnostik för ytterligare information.
Dessa procedurer kan bara utföras om du är medlem i de lokala administratörerna på datorn som kör onlinesvararen och har behörighet till Hantera certifikatutfärdare på datorn som kör certifikatutfärdaren (CA) eller så måste du ha tilldelats lämplig auktoritet.
Sök efter publiceringsfel för CRL på certifikatutfärdaren (CA)
Sök efter publiceringsfel för CRL på certifikatutfärdaren (CA):
Klicka på Start på certifikatutfärdaren (CA), peka på Administrationsverktyg och klicka på Loggboken.
Sök efter ytterligare felmeddelanden eller varningar relaterade till CRL-publicering. Mer information finns på http://go.microsoft.com/fwlink/?LinkId=102985.
Lös problem som identifierats och publicera både bas- och delta-CRL:erna på nytt.
Publicera grundläggande CRL:er och delta-CRL:er på nytt
Publicera grundläggande CRL:er och delta-CRL:er på nytt:
Öppna ett kommandotolkfönster på certifikatutfärdaren.
Skriv certutil -CRL och tryck på RETUR.
Bekräfta att det inte har loggats fler felmeddelanden.
Bekräfta att URL:erna som konfigurerades för bas- och delta-CRL-distributionspunkterna är giltiga.
Bekräfta att URL:erna som konfigurerades för bas- och delta-CRL-distributionspunkterna är giltiga:
Klicka på Start på datorn som kör onlinesvararen, peka på Administrationsverktyg och klicka på Onlinesvarare.
Välj återkallningskonfigurationsnoden.
Högerklicka på den återkallningskonfiguration i informationsfönstret som anges i felmeddelandets beskrivning och klicka på Redigera egenskaper.
Klicka på fliken Återkallningsprovider och sedan på Provider.
Notera de URL:er som konfigurerats i bas- och Delta-CRL:erna.
Bekräfta att dessa URL:er är tillgängliga via datorn som kör onlinesvararen och att de inte innehåller giltiga CRL-filer publicerade av certifikatutfärdaren (CA).
Du kan också använda Snapin-modulen Certifikatutfärdare för att se vilka URL:er som certifikatutfärdaren publicerar bas- och delta-CRL:er för.
Bekräfta förhållandet mellan CRL-distributionspunkter för en certifikatutfärdare (CA)
Bekräfta förhållandet mellan CRL-distributionspunkter för en certifikatutfärdare (CA):
Klicka på Start på datorn som kör certifikatutfärdaren, peka på Administrationsverktyg och klicka på Certifikatutfärdare.
Klicka på fliken Tillägg och anteckna de URL:er som angivits för tillägget Distributionsplats för listor över återkallade certifikat (CDP). Anteckna de URL:er som valts för Publicera listor över återkallade certifikat till denna plats och Publicera listor över ändringar i återkallade certifikat till denna plats.
Bekräfta att dessa är samma konfigurerade nätverksplatser som bas- och delta-CRL:erna i snapin-modulen för onlinesvararen.
Genomsök tillägget Nyaste lista över återkallade certifikat för bas-CRL:en på den dator där bas-CRL:en har publicerats. Bekräfta att det här identifierar en plats där delta-CLR-en kan hittas.
Publicerar aktuell CRL på nytt, om det behövs, genom att öppna ett kommandotolkfönster på certifikatutfärdaren och köra följande kommando: certutil -crl.
Bekräfta sedan att onlinesvararen har åtkomst till CRL:en. Gör detta genom att öppna snapin-modulen för onlinesvararen, högerklicka på Matriskonfiguration och klicka på Uppdatera återkallningsdata.
Uppdatera informationen om återkallningskonfigurationen
Du kan uppdatera återkallelseinformation genom att hämta en uppdaterad CRL. Hämta en uppdaterad CRL genom att:
Använd snapin-modulen Tjänster för att starta om onlinesvarartjänsten.
Använd snapin-modulen för onlinesvararen för att uppdatera återkallningsdata och för att bekräfta att det inte finns några fel.
Uppdatera återkallelseinformation för en onlinesvarare med snapin-modulen Tjänster:
Klicka på Start på onlinesvararen, peka på Administrationsverktyg och klicka på Tjänster.
Klicka på onlinesvarartjänsten och klicka på Starta om.
Uppdatera återkallelseinformation för en onlinesvarare med snapin-modulen för onlinesvararen:
Klicka på Start på datorn som kör onlinesvararen, peka på Administrationsverktyg och klicka på Onlinesvarare.
Högerklicka på Matriskonfiguration och klicka på Uppdatera återkallningsdata.
Bekräfta att det inte har rapporterats några ytterligare fel.
Klicka på onlinesvararnoden och bekräfta att återkallningskonfigurationen visas som Arbetar.
Välj Matriskonfiguration och klicka på den onlinesvarardator som loggat felet och klicka på den återkallningskonfiguration som namngivits i felet.
Status för signeringscertifikatet och återkallningsprovidern hittar du under informationsfönstret i fönstret Status för återkallningskonfiguration.
Bekräfta att det inte har rapporterats några ytterligare fel.
Aktivera CryptoAPI 2.0-diagnostik
Aktivera CryptoAPI 2.0-diagnostik:
Klicka på Start på onlinesvararen, peka på Administrationsverktyg och klicka på Loggboken.
Expandera Loggboken, Program- och tjänsteloggar, Microsoft, Windows och CAPI2 i konsolträdet.
Högerklicka på Arbetsloggen och klicka på Aktivera logg.
Klicka på Start, peka på Administrationsverktyg och klicka på Tjänster.
Högerklicka på Active Directory-certifikattjänster och klicka på Starta om.
Se till att certifikatutfärdaren publicerar CRL:er korrekt och att de är tillgängliga för onlinesvarartjänsten baserat på resultatet från proceduren ovan och aktivering av CryptoAPI 2.0-diagnostik.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 16 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.16" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">16</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>