Le service de répondeur en ligne n'a pas pu accéder à une liste de révocation de certificats.
Le statut et le fonctionnement du service de répondeur en ligne Microsoft dépend d'un grand nombre de fonctionnalités et de composants, y compris la possibilité d'accéder à des données de révocation de certificats à jour, la validité des certificats et des chaînes de l'autorité de certification, et la réponse et la disponibilité globales du système.
Activer l'accès aux listes de révocation de certificats actuelles
Pour résoudre ce problème :
Sur l'autorité de certification, vérifiez pour détecter des erreurs de publication de la liste de révocation de certificats.
Si un problème est survenu lors de la dernière publication, republiez les dernières listes de révocation de certificats de base et delta.
Confirmez que les URL configurées pour la configuration de la révocation sont valides.
Actualisez les informations sur la configuration de la révocation.
Si l'erreur persiste, activez les diagnostics CrytpoAPI 2.0 pour plus d'informations.
Pour effectuer ces procédures, vous devez être membre du groupe Administrateurs local sur l'ordinateur hébergeant le répondeur en ligne et avoir des autorisations Gérer l'autorité de certification, ou l'autorité appropriée doit vous avoir été déléguée.
Rechercher les erreurs de publication de la liste de révocation de certificats sur l'autorité de certification
Pour vérifier et détecter les erreurs de publication de la liste de révocation de certificats sur l'autorité de certification :
Sur l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Observateur d'événements.
Vérifiez pour détecter des messages d'erreurs ou avertissements supplémentaires liés à la publication de la liste de révocation de certificats. Pour plus d'informations, voir http://go.microsoft.com/fwlink/?LinkId=102985.
Résolvez tous les problèmes identifiés et republiez les listes de révocation de certificats de base et delta.
Republier les listes de révocation de certificats de base et delta
Pour republier les listes de révocation de certificats de base et delta :
Ouvrez une fenêtre d'invite de commandes sur l'autorité de certification.
Entrez certutil -crl et appuyez sur ENTRÉE.
Confirmez que d'autres messages d'erreurs ne sont pas enregistrés.
Confirmer que les URL configurées pour les points de distribution des listes de révocation de certificats de base et delta sont valides
Pour confirmer que les URL configurées pour les points de distribution des listes de révocation de certificats de base et delta sont valides :
Sur l'ordinateur hébergeant le répondeur en ligne, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Répondeur en ligne.
Sélectionnez le nœud de configuration de la révocation.
Dans le volet Détails, cliquez avec le bouton droit sur la configuration de révocation spécifiée dans la description du message d'erreur et cliquez sur Modifier les propriétés.
Cliquez sur l'onglet Fournisseur de révocation, puis sur Fournisseur.
Notez les URL configurées dans les URL des listes de révocation de certificats de base et delta.
Confirmez que ces URL sont accessibles à l'ordinateur exécutant le répondeur en ligne et qu'elles contiennent des fichiers de listes de révocation de certificats valides publiées par l'autorité de certification.
Vous pouvez également utiliser le composant logiciel enfichable Autorité de certification pour vérifier les URL sur lesquelles l’autorité de certification publiera les listes de révocation de certificats de base et delta.
Confirmer la relation entre des points de distribution de listes de révocation de certificats et une autorité de certification
Pour confirmer la relation entre des points de distribution de listes de révocation de certificats et une autorité de certification :
Sur l'ordinateur hébergeant l'autorité de certification, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Autorité de certification.
Cliquez sur l'onglet Extensions et notez les URL entrées pour l'extension des points de distribution de la liste de révocation de certificats (CDP) Notez les URL pour lesquelles Publier les listes de révocation de certificats à cet emplacement et Publier les listes de révocation de certificats delta à cet emplacement sont sélectionnés.
Confirmez qu'il s'agit bien des emplacements réseau configurés comme listes de révocation de certificats de base et delta dans le composant logiciel enfichable Répondeur en ligne.
Sur l’ordinateur sur lequel la liste de révocation de certificats de base est publiée, examinez l’extension Liste de révocation de certificats la plus récente de la liste de révocation de certificats de base. Confirmez que ceci identifie un emplacement où se trouve la liste de révocation de certificats delta.
Si nécessaire, republiez la liste de révocation de certificats actuelle en ouvrant une fenêtre d'invite de commandes sur l'autorité de certification et en exécutant la commande suivante : certutil -crl.
Confirmez ensuite que le répondeur en ligne peut accéder à la liste de révocation de certificats. Pour ce faire, ouvrez le composant logiciel enfichable Répondeur en ligne, cliquez avec le bouton droit sur Configuration de groupe et cliquez sur Actualiser les données de révocation.
Actualiser les informations sur la révocation
Vous pouvez mettre à jour les informations sur la révocation en récupérant une liste de révocation de certificats mise à jour. Une liste de révocation de certificats peut être récupérée d'une des manières suivantes :
En utilisant le composant de logiciel enfichable Services dans la console pour redémarrer le service de répondeur en ligne.
En utilisant le composant de logiciel enfichable Répondeur en ligne pour actualiser les données de révocation et en confirmant que l'erreur n'apparaît pas.
Pour mettre à jour des informations sur la révocation pour un répondeur en ligne en utilisant le composant de logiciel enfichable Services dans la console :
Sur le répondeur en ligne, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Services.
Cliquez sur Services de répondeur en ligne et sur Redémarrer.
Pour mettre à jour des informations sur la révocation pour un ordinateur de répondeur en ligne en utilisant le composant de logiciel enfichable Répondeur en ligne :
Sur l'ordinateur hébergeant le répondeur en ligne, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Répondeur en ligne.
Cliquez avec le bouton droit sur Configuration de groupe et sur Actualiser les données de révocation.
Confirmez qu'aucune erreur supplémentaire n'a été signalée.
Cliquez sur le nœud du répondeur en ligne et confirmez que la configuration de révocation est mentionnée comme Fonctionnant.
Sous Configuration de groupe, sélectionnez l'ordinateur de répondeur en ligne qui a enregistré l'erreur, puis cliquez sur la configuration de révocation nommée dans l'erreur.
Sous le volet Détails, affichez le volet État de configuration de révocation pour voir l'état du certificat de signature et le fournisseur de révocation.
Confirmez qu'aucune erreur supplémentaire n'a été signalée.
Activer des diagnostics CryptoAPI 2.0
Pour activer des diagnostics CryptoAPI 2.0 :
Sur le répondeur en ligne, cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Observateur d'événements.
Dans l'arborescence, développez l'observateur d'événements, les journaux des applications et des services, Microsoft, Windows et CAPI2.
Cliquez avec le bouton droit Opérationnel et cliquez sur Activer le journal.
Cliquez sur Démarrer, pointez sur Outils d'administration et cliquez sur Services.
Cliquez avec le bouton droit sur Services de certificats Active Directory et cliquez sur Redémarrer.
En fonction des résultats des procédures susmentionnées et de l'activation des diagnostics CryptoAPI 2.0, assurez-vous que l'autorité de certification publie correctement les listes de révocation de certificats et que ces dernières sont disponibles pour le service de répondeur en ligne.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 17 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.17" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">17</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>