線上回應服務嘗試使用無效的 Delta CRL。
Microsoft 線上回應服務的狀態和運作與許多功能和元件有相依性,包括能否及時存取憑證撤銷資料、憑證授權單位 (CA) 憑證和鏈結的有效性,以及整體系統回應和可用性。
確保 Delta CRL 版本符合基本 CRL 版本
Delta 憑證撤銷清單 (CRL) 只能搭配對應的基本 CRL 使用。若要確保 Delta CRL 版本符合基本 CRL 版本:
檢查憑證授權單位 (CA) 上是否存在 CRL 發佈錯誤。
重新發佈基本及 Delta CRL。
在線上回應電腦上檢查並更新本機 CRL。
在線上回應上重新整理並更新撤銷資訊。
確認 CA 上和線上回應上設定的 CRL 發佈點使用相同的位置。
更新撤銷資訊。
如果問題仍然存在,請使用 CryptoAPI 2.0 診斷來取得關於問題的其他資訊。
若要執行這些程序,您必須是主控線上回應之電腦上本機 Administrators 的成員,並且對主控 CA 的電腦具有管理 CA 權限,或者您必須已被委派適當的授權。
檢查 CA 上是否存在 CRL 發行錯誤
若要檢查 CA 上是否存在 CRL 發行錯誤:
在 CA 上按一下 [開始],指向 [系統管理工具],然後按一下 [事件檢視器]。
檢查是否存在與 CRL 發佈相關的其他錯誤或警告。如需詳細資訊,請參閱 http://go.microsoft.com/fwlink/?LinkId=102985。
解決所識別的任何問題,並重新發佈基本及差異 CRL。
重新發行基本及差異 CRL
若要重新發佈基本及差異 CRL:
在 CA 上開啟命令提示字元視窗。
輸入 certutil -crl 並按 ENTER。
確認沒有記錄其他錯誤或事件。
在線上回應者電腦上檢查並更新本機 CRL
若要確保目前的基本及差異 CRL 可在線上回應者上使用:
在主控線上回應的電腦上按一下 [開始],輸入 mmc 並按 ENTER。
當 [使用者帳戶控制] 對話方塊出現時,請確認其中顯示的動作即是您要執行的動作,然後按一下 [繼續]。
在 [檔案] 功能表上,依序按一下 [新增/移除嵌入式管理單元]、[憑證] 和 [新增]。
按一下 [服務帳戶],然後按 [下一步]。
在 [選取服務] 中,依序按一下 [線上回應服務]、[完成] 及 [確定]。
為中繼憑證授權單位或受信任的根憑證授權單位容器選取 [憑證撤銷清單] 資料夾,視支援線上回應服務的 CA 類型而定。
檢查 Delta CRL 的 Delta CRL 指示器延伸中所指定的 BaseCRLNumber。此號碼應參考發佈的基本 CRL 的版本號碼。
如果此號碼與發佈的基本 CRL 的版本號碼不相符,則請重新發佈基本及 Delta CRL,方法是在 CA 上開啟命令提示字元視窗並執行下列命令:certutil -crl。
在線上回應上擷取更新的 CRL 資料。若要這樣做,請重新啟動每個陣列成員上的線上回應服務,或在 [線上回應] 嵌入式管理單元中的 [陣列設定] 上按一下滑鼠右鍵,然後按一下 [重新整理撤銷資料]。然後確認基本與 Delta CRL 版本號碼相符。
確認 CA 上和線上回應者上設定的 CRL 發佈點使用相同位置
若要確認 CA 上和線上回應上設定的 CRL 發佈點使用相同位置:
在線上回應上按一下 [開始],指向 [系統管理工具],然後按一下 [線上回應]。
在主控台樹狀目錄中,選取撤銷設定節點。
在詳細資料窗格中,在事件描述中指定的撤銷設定上按一下滑鼠右鍵,然後按一下 [編輯內容]。
按一下 [撤銷提供者] 索引標籤,然後按一下 [提供者]。請記下基本 CRL 與 Delta CRL 中所設定的 URL。
確認線上回應電腦可以存取這些位置。
開啟 [憑證授權單位] 嵌入式管理單元,在 CA 名稱上按一下滑鼠右鍵,然後按一下 [內容]。
在 [延伸] 索引標籤上,選取 [CRL 發佈點] 延伸,記下所列出的 URL,確認兩個電腦上的 URL 是否使用相同的位置。
更新撤銷資訊
您可以透過擷取更新的 CRL 來更新撤銷資訊。可透過以下方式來擷取更新的 CRL:
使用 [服務] 嵌入式管理單元主控台重新啟動線上回應服務
使用 [線上回應] 嵌入式管理單元重新整理撤銷資料,並確認錯誤不再出現
若要使用 [服務] 嵌入式管理單元主控台來更新線上回應的撤銷資訊:
在線上回應上按一下 [開始],指向 [系統管理工具],然後按一下 [服務]。
按一下 [線上回應服務],然後按一下 [服務]。
若要使用 [線上回應] 嵌入式管理單元來更新線上回應的撤銷資訊:
在主控線上回應的電腦上按一下 [開始],指向 [系統管理工具],然後按一下 [線上回應]。
在 [陣列設定] 上按一下滑鼠右鍵,然後按一下 [重新整理撤銷資料]。
確認沒有報告其他錯誤。
按一下 [線上回應] 節點,並確認撤銷設定已列為 [執行中]。
在 [陣列設定] 下,選取記錄錯誤的線上回應電腦,然後按一下錯誤中所指名的撤銷設定。
在詳細資料窗格下,檢視 [撤銷設定狀態] 窗格簽署憑證及撤銷提供者的狀態。
確認沒有報告其他錯誤。
啟用 CryptoAPI 2.0 診斷
若要啟用 CryptoAPI 2.0 診斷:
在線上回應上按一下 [開始],指向 [系統管理工具],然後按一下 [事件檢視器]。
在主控台樹狀目錄中,展開 [事件檢視器]、[應用程式及服務記錄檔]、[Microsoft]、[Windows] 和 [CAPI2]。
在 [可操作] 上按一下滑鼠右鍵,然後按一下 [啟用記錄]。
按一下 [開始],指向 [系統管理工具],然後按一下 [服務]。
在 [Active Directory 憑證服務] 上按一下滑鼠右鍵,然後按一下 [重新啟動]。
視上面程序的結果以及是否啟用 CryptoAPI 2.0 診斷而定,確定 CA 正確發佈 CRL,且這些 CRL 可供線上回應服務使用。
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 18 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.18" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>