送信元 OnlineResponderRevocationProvider および ID 17 を所有するイベント向けの収集ルール

概要

Microsoft オンライン レスポンダー サービスの状態と機能は、証明書失効データへタイムリーにアクセスする能力、証明機関 (CA) 証明書およびチェーンの有効性、およびシステム全体の応答および可用性などのさまざまな機能やコンポーネントに依存します。

解決方法

現在の証明書失効リストへのアクセスを有効にする

この問題を解決するには、次の手順を実行します。

• 証明機関 (CA) 上で、証明書失効リスト (CRL) に公開エラーがないか確認します。

• 最後の公開に問題があった場合は、最新の Base CRL と Delta CRL を再公開します。

• 失効構成で構成された URL が有効となっていることを確認します。

• 失効構成情報を更新します。

• エラーが解決されない場合は、CrytpoAPI 2.0の診断機能を有効化してさらに情報を収集します。

これらの手順を実行するには、オンライン レスポンダーをホストしているコンピューター上のローカルの Administrators グループのメンバーであるか、CA をホストしているコンピューター上の管理 CA アクセス許可を持っているか、あるいは適切な権限が委任されている必要があります。

CA 上の CRL 公開エラーの確認

CA 上の CRL 公開エラーを確認するには、次の手順を実行します。

• CA 上で [スタート] ボタンをクリックし、[管理ツール] をポイントし、[イベント ビューアー] をクリックします。

• CRL 公開に関するエラー メッセージや警告が他にないかどうか確認します。詳細については、 http://go.microsoft.com/fwlink/?LinkId=102985 をご覧ください。

• 特定された問題を解決し、Base CRL と Delta CRL の両方を再公開します。

Base CRL と Delta CRL の再公開

Base CRL と Delta CRL を再公開するには、次の手順を実行します。

• CA でコマンド プロンプト ウィンドウを開きます。

• 「certutil -crl」と入力し、Enter キーを押します。

• 他にエラー メッセージが記録されていないことを確認します。

Base CRL および Delta CRL 配布ポイント用に構成された URL が有効になっていることを確認する

Base CRL および Delta CRL 配布ポイント用に構成された URL が有効になっていることを確認するには、次の手順を実行します。

• オンライン レスポンダーをホストしているコンピューター上で [スタート] をクリックし、[管理ツール] をポイントし、[オンライン レスポンダー] をクリックします。

• 失効構成ノードを選択します。 

• [詳細] ペイン内で、エラー メッセージの説明で指定した [失効構成] を右クリックし、[プロパティの編集] をクリックします。 

• [プロバイダーの失効] タブをクリックしてから、[プロバイダー] をクリックします。 

• Base CRL URL および Delta CRL URL 内で構成された URL を書き留めます。 

• オンライン レスポンダーを実行中のコンピューターがこれらの URL へアクセスでき、これらの URL に CA が公開した有効な CRL ファイルが含まれていることを確認します。

また、証明機関スナップインを使用して、CA が Base CRL と Delta CRL を発行する URL を確認します。   

CA への CRL 配布ポイントの関係を確認する

CA への CRL 配布ポイントの関係を確認するには、次の手順を実行します。

• CA をホストしているコンピューター上で、[スタート] をクリックし、[管理ツール] をポイントし、[証明機関] をクリックします。

• [拡張子] タブをクリックし、CRL 配布ポイント (CDP) 拡張子として入力された URL を書き留めます。[CRL をこの場所に公開する] および [Delta CRL をこの場所に公開する] で選択された URL を書き留めます。 

• これらが、オンライン レスポンダー スナップイン内で Base CRL および Delta CRL として構成されたのと同じネットワークの場所に存在していることを確認します。

• Base CRL の発行先のコンピューターで、Base CRL の [最新の CRL] 拡張を調べます。Delta CRL が見つかる場所が指定されていることを確認します。

• 現在の CRL を再発行し、必要に応じて、CA 上でコマンド プロンプトを開き、次のコマンド「certutil -crl」を実行します。

• その後、オンライン レスポンダー サービスが CRL にアクセスできることを確認します。この操作を行うには、オンライン レスポンダー スナップインから、[配列構成] を右クリックし、[失効データを最新の状態に更新] をクリックします。

失効情報を更新する

更新された CRL を取得して、失効情報を更新することができます。更新された CRL は、以下の方法で取得することができます。

• サービス スナップイン コンソールを使用してオンライン レスポンダー サービスを再起動します。

• オンライン レスポンダー スナップインを使用して、失効データを更新し、エラーが表示されないことを確認します。

サービス スナップイン コンソールを使用してオンライン レスポンダーの失効情報を更新するには、次の手順を実行します。

• オンライン レスポンダー上で [スタート] をクリックし、[管理ツール] をポイントし、[サービス] をクリックします。

• [オンライン レスポンダー サービス]、[再起動] の順にクリックします。

オンライン レスポンダー スナップインを使用してオンライン レスポンダーの失効情報を更新するには、次の手順を実行します。

• オンライン レスポンダーをホストしているコンピューター上で [スタート] をクリックし、[管理ツール] をポイントし、[オンライン レスポンダー] をクリックします。

• [配列構成] を右クリックし、[失効データの更新] をクリックします。

• 追加のエラーが報告されていないことを確認します。

• [オンライン レスポンダー] ノードをクリックし、失効構成が [動作中] となっていることを確認します。

• 「配列構成」の下で、エラーを記録したオンライン レスポンダー コンピューターを選択し、エラーに表示されていた失効構成をクリックします。

• [詳細] ペイン下で [失効構成の状態] ペインを表示して、署名証明書の状態と失効プロバイダーを確認します。 

• 追加のエラーが報告されていないことを確認します。

CryptoAPI 2.0 の診断機能の有効化

CryptoAPI 2.0 の診断機能を有効にするには:

• オンライン レスポンダー上で [スタート] をクリックし、[管理ツール] をポイントし、[イベント ビューアー] をクリックします。

• コンソール ツリーで、[イベント ビューアー]、[アプリケーションとサービス ログ]、[Microsoft]、[Windows]、[CAPI2] を展開します。

• [操作] を右クリックし、[ログの有効化] をクリックします。

• [スタート] ボタンをクリックし、[管理ツール] をポイントして [サービス] をクリックします。

• [Active Directory 証明書サービス] を右クリックし、[再起動] をクリックします。

上記の手順の結果によって CryptoAPI 2.0の診断機能を有効化し、CA が正しく CRL を発行し、CRL がオンライン プロバイダー サービスで利用できるようになっていることを確認します。