Usługa obiektu odpowiadającego w trybie online podjęła próbę użycia nieprawidłowej różnicowej listy CRL.
Stan i funkcjonowanie usługi obiektu odpowiadającego w trybie online firmy Microsoft zależy od licznych funkcji i składników, w tym możliwości pobierania aktualnych danych o odwołaniu certyfikatów, poprawności certyfikatu i łańcucha certyfikatów urzędu certyfikacji (CA) oraz ogólnej sprawności reagowania i dostępności systemu.
Upewnienie się, że wersja różnicowej listy CRL pasuje do wersji podstawowej listy CRL
Różnicowej listy odwołania certyfikatów (CRL) można używać tylko wraz z odpowiadającą jej podstawową listą CRL. Aby upewnić się, że wersja różnicowej listy CRL pasuje do wersji podstawowej listy CRL:
Sprawdź, czy urząd certyfikacji (CA) nie zgłaszał błędów publikowania list CRL.
Ponownie opublikuj podstawowe i różnicowe listy CRL.
Sprawdź i zaktualizuj lokalne listy CRL na komputerze obiektu odpowiadającego w trybie online.
Odśwież i zaktualizuj informacje o odwołaniu na obiekcie odpowiadającym w trybie online.
Upewnij się, że na urzędzie certyfikacji i obiekcie odpowiadającym w trybie online skonfigurowano tę samą lokalizację punktów dystrybucji list CRL.
Zaktualizuj informacje o odwołaniu.
Jeśli problem nadal występuje, skorzystaj z funkcji diagnostyki CryptoAPI 2.0 w celu uzyskania dodatkowych informacji o problemie.
Aby wykonać te procedury, trzeba należeć do lokalnej grupy Administratorzy na komputerze udostępniającym obiekt odpowiadający w trybie online i posiadać uprawnienia Zarządzaj urzędem certyfikacji na komputerze udostępniającym urząd certyfikacji (CA), bądź posiadać odpowiednie uprawnienia oddelegowane.
Sprawdzanie, czy urząd certyfikacji zgłaszał błędy publikowania list CRL
Aby sprawdzić, czy urząd certyfikacji zgłaszał błędy publikowania list CRL:
Na komputerze urzędu certyfikacji kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Podgląd zdarzeń.
Sprawdź, czy nie były zgłaszane dodatkowe błędy lub ostrzeżenia związane z publikowaniem list CRL. Aby uzyskać więcej informacji, zobacz http://go.microsoft.com/fwlink/?LinkId=102985.
Rozwiąż wszelkie zidentyfikowane problemy, a następnie ponownie opublikuj podstawową i różnicową listę CRL.
Ponowne publikowanie podstawowej i różnicowek listy CRL
Aby ponownie opublikować podstawową i różnicową listę CRL:
Otwórz okno wiersza polecenia na komputerze urzędu certyfikacji.
Wpisz polecenie certutil -crl i naciśnij klawisz ENTER.
Upewnij się, że nie zostały zarejestrowane żadne dalsze błędy lub zdarzenia.
Sprawdzanie i aktualizowanie lokalnych list CRL na komputerze obiektu odpowiadającego w trybie online
Aby upewnić się, że obiekt odpowiadający w trybie online ma dostęp do bieżących wersji podstawowych i różnicowych list CRL:
Na komputerze udostępniającym obiekt odpowiadający w trybie online kliknij przycisk Start, wpisz polecenie mmc i naciśnij klawisz ENTER.
Jeśli pojawi się okno dialogowe Kontrola konta użytkownika, potwierdź, że wyświetlana akcja jest odpowiednia, i kliknij przycisk Kontynuuj.
W menu Plik kliknij polecenie Dodaj/Usuń przystawkę, kliknij pozycję Certyfikaty, a następnie kliknij przycisk Dodaj.
Kliknij opcję Konto usługi, a następnie przycisk Dalej.
W oknie Wybieranie usługi kliknij opcję Usługa obiektów odpowiadających w trybie online, a następnie kliknij przycisk Zakończ i przycisk OK.
W zależności od typu urzędu certyfikacji obsługującego usługę obiektów odpowiadających w trybie online wybierz folder Lista odwołania certyfikatów albo dla kontenera Pośrednie urzędy certyfikacji, albo dla kontenera Zaufane główne urzędy certyfikacji.
Sprawdź wartość atrybutu BaseCRLNumber podanego w rozszerzeniu wskaźnika różnicowej listy CRL. Numer ten powinien odpowiadać numerowi wersji opublikowanej podstawowej listy CRL.
Jeśli numer ten nie odpowiada numerowi wersji opublikowanej podstawowej listy CRL, ponownie opublikuj podstawową i różnicową listę CRL, otwierając na komputerze urzędu certyfikacji okno wiersza polecenia i uruchamiając następujące polecenie: certutil -crl.
Pobierz zaktualizowane dane list CRL na obiekt odpowiadający w trybie online. W tym celu ponownie uruchom usługę obiektu odpowiadającego w trybie online na każdym elemencie członkowskim macierzy lub kliknij prawym przyciskiem myszy opcję Konfiguracja macierzy w przystawce Obiekt odpowiadający w trybie online i kliknij opcję Odśwież dane odwołania. Następnie upewnij się, że numery wersji podstawowej i różnicowej listy CRL są zgodne.
Sprawdzanie, czy w urzędzie certyfikacji i obiekcie odpowiadającym w trybie online skonfigurowano tę samą lokalizację punktów dystrybucji list CRL
Aby upewnić się, że w urzędzie certyfikacji i obiekcie odpowiadającym w trybie online skonfigurowano tę samą lokalizację punktów dystrybucji list CRL:
Na komputerze obiektu odpowiadającego w trybie online kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Obiekt odpowiadający w trybie online.
W drzewie konsoli wybierz węzeł konfiguracji odwołania.
W okienku szczegółów kliknij prawym przyciskiem myszy konfigurację odwołania podaną w opisie zdarzenia i kliknij polecenie Edytuj właściwości.
Kliknij kartę Dostawca odwołań i kliknij opcję Dostawca. Zwróć uwagę na adresy URL skonfigurowane w polach Podstawowe listy CRL i Różnicowe listy CRL.
Upewnij się, że komputer udostępniający obiekt odpowiadający w trybie online ma dostęp do tych lokalizacji.
Otwórz przystawkę Urząd certyfikacji, kliknij prawym przyciskiem myszy nazwę urzędu certyfikacji i kliknij polecenie Właściwości.
Na karcie Rozszerzenia wybierz rozszerzenie Punkt dystrybucji listy CRL, sprawdź wymienione adresy URL i upewnij się, że adresy URL na obu komputerach wskazują tę samą lokalizację.
Zaktualizuj informacje o odwołaniu
Informacje o odwołaniu można zaktualizować, pobierając zaktualizowaną listę CRL. Dostępne są następujące sposoby pobrania zaktualizowanej listy CRL:
Użycie konsoli przystawki Usługi do ponownego uruchomienia usługi obiektu odpowiadającego w trybie online
Użycie przystawki Obiekt odpowiadający w trybie online do odświeżenia informacji o odwołaniu i upewnienia się, że nie zostanie wyświetlony błąd
Aby zaktualizować informacje o odwołaniu dla obiektu odpowiadającego w trybie online za pomocą konsoli przystawki Usługi:
Na komputerze obiektu odpowiadającego w trybie online kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Usługi.
Kliknij opcję Usługi obiektów odpowiadających w trybie online, a następnie opcję Uruchom ponownie.
Aby zaktualizować informacje o odwołaniu dla obiektu odpowiadającego w trybie online za pomocą przystawki Obiekt odpowiadający w trybie online:
Na komputerze udostępniającym obiekt odpowiadający w trybie online kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Obiekt odpowiadający w trybie online.
Kliknij prawym przyciskiem myszy opcję Konfiguracja macierzy, a następnie kliknij polecenie Odśwież dane odwołania.
Upewnij się, że nie zostały zgłoszone żadne dodatkowe błędy.
Kliknij węzeł Obiekt odpowiadający w trybie online i upewnij się, że konfiguracja odwołania jest wymieniona ze stanem Działa.
W obszarze Konfiguracja macierzy wybierz komputer obiektu odpowiadającego w trybie online, na którym został zarejestrowany błąd, a następnie kliknij konfigurację odwołania podaną w komunikacie o błędzie.
W okienku szczegółów zapoznaj się z okienkiem Stan konfiguracji odwołania, aby zobaczyć stan certyfikatu podpisywania i dostawcy odwołań.
Upewnij się, że nie zostały zgłoszone żadne dodatkowe błędy.
Włączanie funkcji diagnostyki CryptoAPI 2.0
Aby włączyć funkcję diagnostyki CryptoAPI 2.0:
Na komputerze obiektu odpowiadającego w trybie online kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Podgląd zdarzeń.
W drzewie konsoli rozwiń kolejno pozycje Podgląd zdarzeń, Dzienniki aplikacji i usług, Microsoft, Windows i CAPI2.
Kliknij prawym przyciskiem myszy opcję Operacyjny, a następnie kliknij polecenie Włącz dziennik.
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne i kliknij opcję Usługi.
Kliknij prawym przyciskiem myszy pozycję Usługi certyfikatów Active Directory, a następnie kliknij polecenie Uruchom ponownie.
W zależności od wyników powyższych procedur oraz od tego, czy włączono funkcję diagnostyki CryptoAPI 2.0, upewnij się, że urząd certyfikacji prawidłowo publikuje listy CRL i że są one dostępne dla usługi obiektu odpowiadającego w trybie online.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 18 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.18" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>