联机响应程序服务无法访问证书吊销列表。
Microsoft 联机响应程序服务的状态和功能与许多功能和组件之间存在依赖关系,包括能否及时访问证书吊销数据、证书颁发机构 (CA) 证书和链的有效性,以及整体系统响应和可用性。
启用对当前证书吊销列表的访问
要解决此问题,请执行以下操作:
在证书颁发机构 (CA) 上,检查证书吊销列表 (CRL) 是否存在发布错误。
如果上次的发布存在问题,请重新发布最新的基本和增量 CRL。
确认为吊销配置配置的 URL 是否有效。
刷新吊销配置信息。
如果错误仍存在,请启用 CrytpoAPI 2.0 诊断功能以了解详细信息。
要执行这些过程,您必须是托管联机响应程序的计算机上的本地管理员组成员,并且在托管 CA 的计算机上具有管理 CA 权限,或您必须已被委派适当的权限。
检查 CA 上是否存在 CRL 发布错误
要检查 CA 上是否存在 CRL 发布错误,请执行以下操作:
在 CA 上,单击“开始”,指向“管理工具”,然后单击“事件查看器”。
检查与 CRL 发布相关的其他错误消息或警告。有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=102985。
解决找到的任何问题,并且重新发布基本和增量 CRL。
重新发布基本和增量 CRL
要重新发布基本和增量 CRL,请执行以下操作:
在 CA 中打开一个命令提示符窗口。
键入 certutil -crl,然后按 ENTER。
确认没有记录其他错误消息。
确认为基本和增量 CRL 分配点配置的 URL 是否有效
要确认为基本和增量 CRL 分配点配置的 URL 是否有效,请执行以下操作:
在托管联机响应程序的计算机上,单击“开始”,指向“管理工具”,然后单击“联机响应程序”。
选择吊销配置节点。
在详细信息窗格中,右键单击在错误消息描述中指定的吊销配置,然后单击“编辑属性”。
单击“吊销提供程序”选项卡,然后单击“提供程序”。
记下在基本 CRL 和增量 CRL URL 中配置的 URL。
确认运行联机响应程序的计算机可访问这些 URL,且其中包含 CA 发布的有效 CRL 文件。
您还可以使用“证书颁发机构”管理单元检查 CA 将基本 CRL 和增量 CRL 发布到的 URL。
确认 CRL 发布点与 CA 的关系
要确认 CRL 发布点与 CA 的关系,请执行以下操作:
在托管 CA 的计算机上,单击“开始”,指向“管理工具”,然后单击“证书颁发机构”。
单击“扩展名”选项卡,并记下为 CRL 分配点 (CDP) 扩展名输入的 URL。记下“发布 CRL 到此位置”和“发布增量 CRL 到此位置”已选择的 URL。
确认在联机响应程序管理单元中,它们是否与配置为基本和增量 CRL 的网络位置相同。
在将基本 CRL 发布到的计算机上,检查基本 CRL 的“最新 CRL”扩展。确认是否标识可以找到增量 CRL 的位置。
如有必要,请在 CA 上打开命令提示符窗口并运行以下命令,以重新发布当前 CRL:certutil -crl。
然后,确认联机响应程序可以访问 CRL。要进行此确认,请打开“联机响应程序”管理单元,右键单击“数组配置”,然后单击“刷新吊销数据”。
刷新吊销信息
检索更新的 CRL 以更新吊销信息。更新的 CRL 可通过以下方式进行检索:
使用服务管理单元控制台重新启动联机响应程序服务。
使用联机响应程序管理单元刷新吊销数据,并确认错误不再出现。
要使用服务管理单元控制台来更新联机响应程序的吊销信息,请执行以下操作:
在联机响应程序上,单击“开始”,指向“管理工具”,然后单击“服务”。
单击“联机响应程序服务”,然后单击“重新启动”。
要使用联机响应程序管理单元来更新联机响应程序的吊销信息,请执行以下操作:
在托管联机响应程序的计算机上,单击“开始”,指向“管理工具”,然后单击“联机响应程序”。
右键单击数组配置,然后单击“刷新吊销数据”。
确认不再报告其他错误。
单击“联机响应程序”节点,然后确认列出的吊销配置显示为“工作正常”。
在“数组配置”下,选择记录错误的联机响应程序计算机,然后单击错误中指出的吊销配置。
在详细信息窗格下,查看“吊销配置状态”窗格中签名证书的状态和吊销提供程序。
确认不再报告其他错误。
启用 CryptoAPI 2.0 诊断功能
要启用 CryptoAPI 2.0 诊断功能,请执行以下操作:
在联机响应程序上,单击“开始”,指向“管理工具”,然后单击“事件查看器”。
在控制台树中,展开“事件查看器”、“应用程序和服务日志”、“Microsoft”、“Windows”、“CAPI2”。
右键单击“可操作”,然后单击“启用日志”。
单击“开始”,指向“管理工具”,然后单击“服务”。
右键单击“Active Directory 证书服务”,然后单击“重新启动”。
根据上述过程的结果和是否启用 CryptoAPI 2.0 诊断功能,请确保 CA 正确发布 CRL,且可供联机响应程序服务使用。
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 17 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.17" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">17</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>