Çevrimiçi Yanıtlayıcı hizmeti bir sertifika iptal listesine erişemedi.
Microsoft Çevrimiçi Yanıtlayıcı hizmetinin durumu ve işlevi, zamanında sertifika iptali verilerine erişme yeteneği , sertifika yetkilisi (CA) sertifikasının ve zincirinin geçerliliği ve genel sistem yanıtı ve kullanılabilirliği de dahil olmak üzere çok sayıda özeliğe ve bileşene yönelik bağımlılık içerir.
Geçerli sertifika iptal listelerine erişimi etkinleştirin
Bu sorunu düzeltmek için:
Sertifika yetkilisi (CA) üzerinde, sertifika iptal listesi (CRL) yayımlama hatalarını denetleyin.
Son yayımlamayla ilgili bir sorun olması durumunda, en son temel ve delta CRL'leri yeniden yayımlayın.
İptal yapılandırması için yapılandırılan URL'lerin geçerli olduğunu onaylayın.
İptal yapılandırması bilgilerini yenileyin.
Sorun devam ederse, daha fazla bilgi için CrytpoAPI 2.0 Tanılama'yı etkinleştirin.
Bu yordamları gerçekleştirmek için, Çevrimiçi Yanıtlayıcı'yı barındıran bilgisayar üzerinde yerel Administrators grubunun üyesi olmanız ve CA'yı barındıran bilgisayar üzerinde CA'yı Yönet izinlerine sahip olmanız veya uygun yetkinin size verilmiş olması gerekir.
CA üzerindeki CRL yayımlama hatalarını denetleyin
CA üzerindeki CRL yayımlama hatalarını denetlemek için:
CA üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Olay Görüntüleyicisi'ne tıklayın.
CRL yayımlamayla ilgili ek hata iletilerini veya uyarıları denetleyin. Daha fazla bilgi için bkz. http://go.microsoft.com/fwlink/?LinkId=102985.
Tanımlanan sorunları çözün ve hem temel hem de delta CRL'leri yeniden yayımlayın.
Temel ve delta CRL'leri yeniden yayımlayın
Temel ve delta CRL'leri yeniden yayımlamak için:
CA üzerinde bir komut istemi penceresi açın.
certutil -crl yazın ve ENTER tuşuna basın.
Günlüğe kaydedilmiş başka hata iletisi olmadığını onaylayın.
Temel ve delta CRL dağıtım noktaları için yapılandırılan URL'lerin geçerli olduğunu onaylayın
Temel ve delta CRL dağıtım noktaları için yapılandırılan URL'lerin geçerli olduğunu onaylamak için:
Çevrimiçi Yanıtlayıcı'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Çevrimiçi Yanıtlayıcı'ya tıklayın.
İptal yapılandırması düğümünü seçin.
Ayrıntılar bölmesinde, hata iletisi açıklamasında belirtilen iptal yapılandırmasına sağ tıklayın ve Özellikleri Düzenle'ye tıklayın.
İptal Sağlayıcısı sekmesine tıklayın ve sonra Sağlayıcı'ya tıklayın.
Temel CRL URL'leri ve Delta CRL URL'leri içinde yapılandırılmış URL'leri not edin.
Bu URL'lerin Çevrimiçi Yanıtlayıcı'yı çalıştıran bilgisayar tarafından erişilebilir durumda olduğunu ve CA tarafından yayımlanan geçerli CRL dosyaları içerdiğini onaylayın.
CA'nın temel ve delta CRL'leri yayımlayacağı URL'leri denetlemek için Sertifika Yetkilisi ek bileşenini de kullanabilirsiniz.
CRL dağıtım noktalarının bir CA ile olan ilişkisini onaylayın
CRL dağıtım noktalarının bir CA ile olan ilişkisini onaylamak için:
CA'yı barındıran bilgisayarda, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Sertifika Yetkilisi'ne tıklayın.
Uzantılar sekmesine tıklayın ve CRL Dağıtım Noktası (CDP) uzantısı için girilen URL'leri not edin. CRL'leri bu konuma yayımla ve Delta CRL'leri bu konuma yayımla öğelerinin işaretli olduğu URL'leri not edin.
Bunların, Çevrimiçi Yanıtlayıcı ek bileşeninde temel ve delta CRL'ler olarak yapılandırılan ağ konumlarıyla aynı olduğunu onaylayın.
CRL'nin yayımlandığı hedef bilgisayar üzerinde, temel CRL için En Yeni CRL uzantısını inceleyin. Bunun, delta CRL'nin bulunabileceği bir konumu tanımladığını onaylayın.
Gerekiyorsa, CA üzerinde bir komut istemi penceresi açarak ve certutil -crl komutunu çalıştırarak geçerli CRL'yi yeniden yayımlayın.
Sonra, Çevrimiçi Yanıtlayıcı'nın CRL'ye erişebildiğini onaylayın. Bunu yapmak için, Çevrimiçi Yanıtlayıcı ek bileşenini açın, Dizi yapılandırması öğesine sağ tıklayın ve İptal Verilerini Yenile'ye tıklayın.
İptal bilgilerini yenileyin
İptal bilgilerini, güncelleştirilmiş bir CRL alarak güncelleştirebilirsiniz. Güncel CRL şu şekilde alınabilir:
Çevrimiçi Yanıtlayıcı hizmetini yeniden başlatmak için Hizmetler ek bileşen konsolu kullanılarak.
İptal verilerini yenilemek için Çevrimiçi Yanıtlayıcı ek bileşeni kullanılarak ve hatanın görünmediği onaylanarak.
Çevrimiçi Yanıtlayıcı'ya yönelik iptal bilgilerini Hizmetler ek bileşen konsolunu kullanarak güncelleştirmek için:
Çevrimiçi Yanıtlayıcı üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Çevrimiçi Yanıtlayıcı Hizmetleri'ne ve Yeniden Başlat'a tıklayın.
Çevrimiçi Yanıtlayıcı'ya yönelik iptal bilgilerini Çevrimiçi Yanıtlayıcı ekbileşenini kullanarak güncelleştirmek için:
Çevrimiçi Yanıtlayıcı'yı barındıran bilgisayar üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Çevrimiçi Yanıtlayıcı'ya tıklayın.
Dizi Yapılandırması'na sağ tıklayın ve İptal Verilerini Yenile'ye tıklayın.
Ek hata bildirilmediğini onaylayın.
Çevrimiçi Yanıtlayıcı düğümüne tıklayın ve iptal yapılandırmasının Çalışıyor olarak listelendiğini onaylayın.
Dizi Yapılandırması altında, hatayı günlüğe kaydeden Çevrimiçi Yanıtlayıcı bilgisayarını seçin ve sonra hatada adı geçen iptal yapılandırmasına tıklayın.
Ayrıntılar bölmesinde, imza sertifikasının ve iptal sağlayıcısının durumu için İptal Yapılandırması Durumu bölmesini görüntüleyin.
Ek hata bildirilmediğini onaylayın.
CryptoAPI 2.0 Tanılama'yı etkinleştirin
CryptoAPI 2.0 Tanılama'yı etkinleştirmek için:
Çevrimiçi Yanıtlayıcı üzerinde, Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Olay Görüntüleyicisi'ne tıklayın.
Konsol ağacında, Olay Görüntüleyicisi'ni, Uygulama ve Hizmet Günlükleri'ni, Microsoft'u, Windows'u ve CAPI2'yi genişletin.
İşlemsel'e sağ tıklayın ve Günlüğü Etkinleştir'e tıklayın.
Başlat'a tıklayın, Yönetimsel Araçlar'ın üzerine gidin ve Hizmetler'e tıklayın.
Active Directory Sertifika Hizmetleri'ne sağ tıklayın ve Yeniden Başlat'a tıklayın.
Yukarıdaki yordamların sonuçlarına bağlı olarak ve CryptoAPI 2.0 Tanılama'yı etkinleştirerek, CA'nın CRL'leri doğru şekilde yayımladığından ve bunların Çevrimiçi Yanıtlayıcı hizmeti üzerinde kullanılabilir olduğundan emin olun.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 17 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.17" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">17</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>