具有來源 OnlineResponderRevocationProvider 和 ID 18 的事件收集規則

摘要

Microsoft 線上回應服務的狀態和運作與許多功能和元件有相依性，包括能否及時存取憑證撤銷資料、憑證授權單位 (CA) 憑證和鏈結的有效性，以及整體系統回應和可用性。

解決方式

確保 Delta CRL 版本符合基本 CRL 版本

Delta 憑證撤銷清單 (CRL) 只能搭配對應的基本 CRL 使用。若要確保 Delta CRL 版本符合基本 CRL 版本：

• 檢查憑證授權單位 (CA) 上是否存在 CRL 發佈錯誤。

• 重新發佈基本及 Delta CRL。

• 在線上回應電腦上檢查並更新本機 CRL。

• 在線上回應上重新整理並更新撤銷資訊。

• 確認 CA 上和線上回應上設定的 CRL 發佈點使用相同的位置。

• 更新撤銷資訊。

• 如果問題仍然存在，請使用 CryptoAPI 2.0 診斷來取得關於問題的其他資訊。

若要執行這些程序，您必須是主控線上回應之電腦上本機 Administrators 的成員，並且對主控 CA 的電腦具有管理 CA 權限，或者您必須已被委派適當的授權。

檢查 CA 上是否存在 CRL 發行錯誤

若要檢查 CA 上是否存在 CRL 發行錯誤:

• 在 CA 上按一下 [開始]，指向 [系統管理工具]，然後按一下 [事件檢視器]。

• 檢查是否存在與 CRL 發佈相關的其他錯誤或警告。如需詳細資訊，請參閱 http://go.microsoft.com/fwlink/?LinkId=102985。

• 解決所識別的任何問題，並重新發佈基本及差異 CRL。

重新發行基本及差異 CRL

若要重新發佈基本及差異 CRL:

• 在 CA 上開啟命令提示字元視窗。

• 輸入 certutil -crl 並按 ENTER。

• 確認沒有記錄其他錯誤或事件。

在線上回應者電腦上檢查並更新本機 CRL

若要確保目前的基本及差異 CRL 可在線上回應者上使用:

• 在主控線上回應的電腦上按一下 [開始]，輸入 mmc 並按 ENTER。

• 當 [使用者帳戶控制] 對話方塊出現時，請確認其中顯示的動作即是您要執行的動作，然後按一下 [繼續]。

• 在 [檔案] 功能表上，依序按一下 [新增/移除嵌入式管理單元]、[憑證] 和 [新增]。

• 按一下 [服務帳戶]，然後按 [下一步]。

• 在 [選取服務] 中，依序按一下 [線上回應服務]、[完成] 及 [確定]。 

• 為中繼憑證授權單位或受信任的根憑證授權單位容器選取 [憑證撤銷清單] 資料夾，視支援線上回應服務的 CA 類型而定。

• 檢查 Delta CRL 的 Delta CRL 指示器延伸中所指定的 BaseCRLNumber。此號碼應參考發佈的基本 CRL 的版本號碼。 

• 如果此號碼與發佈的基本 CRL 的版本號碼不相符，則請重新發佈基本及 Delta CRL，方法是在 CA 上開啟命令提示字元視窗並執行下列命令：certutil -crl。

• 在線上回應上擷取更新的 CRL 資料。若要這樣做，請重新啟動每個陣列成員上的線上回應服務，或在 [線上回應] 嵌入式管理單元中的 [陣列設定] 上按一下滑鼠右鍵，然後按一下 [重新整理撤銷資料]。然後確認基本與 Delta CRL 版本號碼相符。

確認 CA 上和線上回應者上設定的 CRL 發佈點使用相同位置

若要確認 CA 上和線上回應上設定的 CRL 發佈點使用相同位置:

• 在線上回應上按一下 [開始]，指向 [系統管理工具]，然後按一下 [線上回應]。

• 在主控台樹狀目錄中，選取撤銷設定節點。 

• 在詳細資料窗格中，在事件描述中指定的撤銷設定上按一下滑鼠右鍵，然後按一下 [編輯內容]。

• 按一下 [撤銷提供者] 索引標籤，然後按一下 [提供者]。請記下基本 CRL 與 Delta CRL 中所設定的 URL。 

• 確認線上回應電腦可以存取這些位置。

• 開啟 [憑證授權單位] 嵌入式管理單元，在 CA 名稱上按一下滑鼠右鍵，然後按一下 [內容]。

• 在 [延伸] 索引標籤上，選取 [CRL 發佈點] 延伸，記下所列出的 URL，確認兩個電腦上的 URL 是否使用相同的位置。

更新撤銷資訊

您可以透過擷取更新的 CRL 來更新撤銷資訊。可透過以下方式來擷取更新的 CRL：

• 使用 [服務] 嵌入式管理單元主控台重新啟動線上回應服務

• 使用 [線上回應] 嵌入式管理單元重新整理撤銷資料，並確認錯誤不再出現

若要使用 [服務] 嵌入式管理單元主控台來更新線上回應的撤銷資訊：

• 在線上回應上按一下 [開始]，指向 [系統管理工具]，然後按一下 [服務]。

• 按一下 [線上回應服務]，然後按一下 [服務]。

若要使用 [線上回應] 嵌入式管理單元來更新線上回應的撤銷資訊：

• 在主控線上回應的電腦上按一下 [開始]，指向 [系統管理工具]，然後按一下 [線上回應]。

• 在 [陣列設定] 上按一下滑鼠右鍵，然後按一下 [重新整理撤銷資料]。

• 確認沒有報告其他錯誤。

• 按一下 [線上回應] 節點，並確認撤銷設定已列為 [執行中]。

• 在 [陣列設定] 下，選取記錄錯誤的線上回應電腦，然後按一下錯誤中所指名的撤銷設定。

• 在詳細資料窗格下，檢視 [撤銷設定狀態] 窗格簽署憑證及撤銷提供者的狀態。

• 確認沒有報告其他錯誤。

啟用 CryptoAPI 2.0 診斷

若要啟用 CryptoAPI 2.0 診斷:

• 在線上回應上按一下 [開始]，指向 [系統管理工具]，然後按一下 [事件檢視器]。

• 在主控台樹狀目錄中，展開 [事件檢視器]、[應用程式及服務記錄檔]、[Microsoft]、[Windows] 和 [CAPI2]。

• 在 [可操作] 上按一下滑鼠右鍵，然後按一下 [啟用記錄]。

• 按一下 [開始]，指向 [系統管理工具]，然後按一下 [服務]。

• 在 [Active Directory 憑證服務] 上按一下滑鼠右鍵，然後按一下 [重新啟動]。

視上面程序的結果以及是否啟用 CryptoAPI 2.0 診斷而定，確定 CA 正確發佈 CRL，且這些 CRL 可供線上回應服務使用。