O serviço do Respondente Online não pode acessar uma lista de revogação de certificado.
O status e o funcionamento do serviço Respondente Online Microsoft depende de vários recursos e componentes, incluindo a habilidade de acessar dados de revogação de certificado oportunos, a validade da cadeia e do certificado da autoridade de certificação (AC) e a resposta e disponibilidade gerais do sistema.
Habilitar acesso a listas de revogação de certificado atuais
Para corrigir esse problema:
Na autoridade de certificação (AC), verifique os erros de publicação da lista de revogação de certificado (CRL).
Se houver um problema com a última publicação, republique as CRLs de base e delta mais recentes.
Confirme que os URLs configurados para a configuração de revogação são válidos.
Atualize as informações de configuração da revogação.
Se o erro persistir, habilite o CrytpoAPI 2.0 Diagnostics para obter mais informações.
Para executar esses procedimentos, você deve ser membro dos Administradores locais no computador hospedando o Respondente Online e ter permissões de Gerenciar AC no computador hospedando a AC ou ter recebido a autoridade apropriada.
Verificar erros de publicação de CRL na AC
Para verificar erros de publicação de CRL na AC:
Na AC, clique em Iniciar, aponte para Ferramentas Administrativas e, em seguida, clique em Visualizador de Eventos.
Verifique se há mensagens de erro adicionais ou avisos relacionados à publicação da CRL. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=102985.
Resolva quaisquer problemas identificados e republique as CRLs delta e de base.
Republicar CRLs delta e de base
Para republicar CRLs delta e de base:
Abra uma janela de prompt de comando na AC.
Digite certutil -crl e pressione ENTER.
Confirme que mais nenhuma mensagem de erro ou evento está registrado.
Confirmar que as URLs configuradas para pontos de distribuição das CRLs delta e de base são válidas
Para confirmar que as URLs configuradas para pontos de distribuição das CRLs delta e de base são válidas:
No computador hospedando o Respondente Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Respondente Online.
Selecione o nó de configuração da revogação.
No painel de detalhes, clique com o botão direito na configuração de revogação especificada na descrição da mensagem de erro e clique em Editar Propriedades.
Clique na guia Provedor de Revogação e clique em Provedor.
Observe os URLs configurados em URLs da CRL de Base e URLs da CRL Delta.
Confirme que esses URLs são acessíveis pelo computador executando Respondente Online e que contêm arquivos de CRL válidos publicados pela AC.
Você também pode usar o snap-in Autoridade de Certificação para verificar as URLs nas quais a autoridade de certificação publicará as CRLs base e delta.
Confirmar a relação dos pontos de distribuição da CRL com a AC
Para confirmar a relação dos pontos de distribuição da CRL com a AC:
No computador que hospeda a AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Autoridade de Certificação.
Clique na guia Extensões e anote os URLs inseridos para a extensão Ponto de Distribuição da CRL (CDP). Anote os URLs para os quais Publicar CRLs neste local e Publicar CRLs Delta neste local estão selecionados
Confirme que esses são os mesmos locais de rede configurados como CRLs de base e delta no snap-in do Respondente Online.
No computador em que a CRL base está publicada, examine a extensão Lista de certificados revogados mais atualizada da CRL base. Confirme se ela identifica um local em que a CRL delta pode ser localizada.
Republique a CRL atual, se necessário, abrindo uma janela de prompt de comando na AC e executando o seguinte comando: certutil -crl.
Em seguida, confirme se o Respondente Online pode acessar a CRL. Para isso, abra o snap-in Respondente Online, clique com o botão direito do mouse em Configuração da Matriz e clique em Atualizar Dados de Revogação.
Atualizar as informações de revogação
Você pode atualizar as informações de revogação recuperando uma CRL atualizada. Uma CRL atualizada pode ser recuperada:
Usando o console do snap-in Serviços para reiniciar o serviço Respondente Online.
Usando o snap-in do Respondente Online para atualizar os dados de revogação e confirmando que o erro não aparece.
Para atualizar as informações de revogação para um Respondente Online usando o console do snap-in Serviços:
No Respondente Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique em Serviços do Respondente Online e em Reiniciar.
Para atualizar as informações de revogação para um Respondente Online usando o snap-in Respondente Online:
No computador hospedando o Respondente Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Respondente Online.
Clique com o botão direito em Configuração da Matriz e em Atualizar Dados de Revogação.
Confirme que nenhum erro adicional foi relatado.
Clique no nó do Respondente Online e confirme que a configuração de revogação está listada como Processando.
Em Configuração de Matriz, selecione o computador do Respondente Online que registrou o erro e clique na configuração de revogação mencionada no erro.
No painel de detalhes, visualize o painel de Status de Configuração de Revogação para o status do certificado de autenticação e o provedor de revogação.
Confirme que nenhum erro adicional foi relatado.
Habilitar o CryptoAPI 2.0 Diagnostics
Para habilitar o CryptoAPI 2.0 Diagnostics:
No Respondente Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizar Eventos.
Na árvore do console, expanda Visualizador de Eventos, Logs de Aplicativos e Serviços, Microsoft, Windows, e CAPI2.
Clique com o botão direito do mouse em Operacional e depois em Habilitar Log.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique com o botão direito em Serviços de Certificados do Active Directory e clique em Reiniciar.
Dependendo dos resultados dos procedimentos acima e habilitando o CryptoAPI 2.0 Diagnostics, garanta que a AC publique as CRLs corretamente e que estejam disponíveis no serviço do Respondente Online.
| Target | Microsoft.Windows.CertificateServices.CARole.2016 |
| Category | EventCollection |
| Enabled | True |
| Event_ID | 17 |
| Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
| Alert Generate | False |
| Remotable | True |
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
| WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
Home
PTB <Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.17" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">17</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>