O serviço Dispositivo de Resposta Online está a tentar utilizar uma CRL delta inválida.
O estado e o funcionamento do serviço Dispositivo de Resposta Online têm dependências em numerosas funções e componentes, incluindo a capacidade para aceder atempadamente a dados de revogação de certificados, a validade do certificado da autoridade de certificação (AC) e da cadeia e a resposta e disponibilidade geral do sistema.
Garantir que a versão CRL delta corresponde à versão CRL base
Uma lista de revogação de certificados (CRL) delta só pode ser utilizada com uma CRL base correspondente. Para garantir que a versão CRL delta corresponde à versão CRL base:
Verifique se há erros de publicação da CRL na autoridade de certificação (AC).
Volte a publicar CRLs base e delta.
Verifique e atualize CRLs locais no computador do Dispositivo de Resposta Online.
Atualize informações de revogação no Dispositivo de Reposta Online.
Confirme se os pontos de distribuição configurados da CRL na AC e Dispositivo de Resposta Online utilizam a mesma localização.
Atualize as informações de revogação.
Se o problema persistir, utilize CryptoAPI 2.0 Diagnostics para obter mais informações sobre o problema.
Este procedimento exige que seja membro do grupo dos Administradores locais no computador que aloja o Dispositivo de Resposta Online e possua permissões para gerir a AC no computador que aloja a AC, ou que lhe tenha sido delegado o nível de autoridade apropriado.
Verificar se há erros de publicação da CRL na AC
Para verificar se há erros de publicação da CRL na AC:
Na AC, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizador de Eventos.
Verifique se há mais erros ou avisos relacionados com a publicação da CRL. Para obter mais informações, consulte http://go.microsoft.com/fwlink/?LinkId=102985.
Resolva os problemas identificados e volte a publicar as CRLs base e delta.
Voltar a publicar CRLs base e delta
Para voltar a publicar CRLs base e delta:
Abra uma janela da linha de comandos na AC.
Escreva certutil -crl e prima ENTER.
Confirme que não há mais erros ou eventos registados.
Verificar e atualizar CRLs locais no computador do Dispositivo de Resposta Online
Para garantir que as atuais CRLs base e delta estão disponíveis no Dispositivo de Resposta Online:
No computador que aloja o Dispositivo de Resposta Online, clique em Iniciar, escreva mmc e prima ENTER.
Se aparecer a caixa de diálogo Controlo de Conta de Utilizador, confirme que a ação apresentada é a que pretende e clique em Continuar.
No menu Ficheiro, clique em Adicionar/Remover Snap-in, clique em Certificados e clique em Adicionar.
Clique em conta de Serviço e clique em Seguinte.
Em Selecionar Serviço, clique em serviço Dispositivo de Resposta Online, clique em Concluir e clique em OK.
Selecione a pasta da Lista de Revogação de Certificados para os contentores de Autoridades de Certificação Intermediárias e Autoridades de Certificação de Raiz Fidedigna, dependendo do tipo de AC que suporta o serviço Dispositivo de Resposta Online.
Verifique o BaseCRLNumber especificado na extensão do indicador de CRL delta da CRL delta. Este número deve referenciar o número da versão de uma CRL base publicada.
Se este número não corresponder ao número da versão de uma CRL base publicada, volte a publicar as CRLs base e delta abrindo uma janela da linha de comandos na AC e executando o comando seguinte: certutil -crl.
Obtenha dados da CRL atualizada no Dispositivo de Resposta Online. Para fazer isto, reinicie o serviço Dispositivo de Resposta Online em cada Membro da Matriz ou clique com o botão direito do rato em Configuração da Matriz no snap-in Dispositivo de Resposta Online e clique em Atualizar Dados de Revogação. A seguir confirme se os números das versões das CRLs base e delta correspondem.
Confirmar se os pontos de distribuição configurados da CRL na AC e Dispositivo de Resposta Online utilizam a mesma localização
Para confirmar se os pontos de distribuição configurados da CRL na AC e Dispositivo de Resposta Online utilizam a mesma localização:
No Dispositivo de Resposta Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Dispositivo de Resposta Online.
Na árvore da consola, selecione o nó de configuração de revogação.
No painel de detalhes, clique com o botão direito do rato na configuração de revogação especificada na descrição do evento e clique em Editar Propriedades.
Clique no separador Fornecedor de Revogação e clique em Fornecedor. Tome nota dos URLs configurados nas CRLs Base e CRLs Delta.
Confirme se o computador do Dispositivo de Resposta Online consegue aceder a essas localizações.
Abra o snap-in da Autoridade de Certificação, clique com o botão direito do rato no nome da AC e clique em Propriedades.
No separador Extensões, selecione a extensão dos Pontos de Distribuição de CRL, tome nota dos URLs listados e confirme se os URLs nos dois computadores utilizam a mesma localização.
Atualizar informações de revogação
Pode atualizar informações de revogação obtendo uma CRL atualizada. Uma CRL atualizada pode ser obtida:
Utilizando a consola de snap-in dos Serviços para reiniciar o serviço Dispositivo de Resposta Online
Utilizando o snap-in Dispositivo de Resposta Online para atualizar dados de revogação e confirmar que o erro não aparece
Para atualizar informações de revogação para um Dispositivo de Resposta Online utilizando a consola do snap-in de Serviços:
No Dispositivo de Resposta Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique nos serviços Dispositivo de Resposta Online e clique em Reiniciar.
Para atualizar informações de revogação para um Dispositivo de Resposta Online utilizando o snap-in Dispositivo de Resposta Online:
No computador que aloja o Dispositivo de Resposta Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Dispositivo de Resposta Online.
Clique com o botão direito do rato em Configuração da Matriz e clique em Atualizar Dados de Revogação.
Confirme que não foram reportados erros adicionais.
Clique no nó do Dispositivo de Resposta Online e confirme se a lista de configuração de revogação está listada como A trabalhar.
Em Configuração da Matriz, selecione o computador do Dispositivo de Resposta Online que registou o erro e depois clique na configuração de revogação nomeada no erro.
No painel de detalhes, consulte o painel do Estado da Configuração de Revogação para saber qual é o estado do certificado de assinatura e do fornecedor de revogação.
Confirme que não foram reportados erros adicionais.
Ativar o CryptoAPI 2.0 Diagnostics
Para ativar o CryptoAPI 2.0 Diagnostics:
No Dispositivo de Resposta Online, clique em Iniciar, aponte para Ferramentas Administrativas e clique em Visualizador de Eventos.
Na árvore da consola, expanda Visualizador de Eventos, Registos de Serviços e Aplicações, Microsoft, Windows e CAPI2.
Clique com o botão direito do rato em Operacional e clique em Ativar Registo.
Clique em Iniciar, aponte para Ferramentas Administrativas e clique em Serviços.
Clique com o botão direito do rato em Serviços de Certificados do Active Directory e clique em Reiniciar.
Dependendo dos resultados dos procedimentos acima e ativando o CryptoAPI 2.0 Diagnostics, certifique-se de que a AC publica as CRLs corretamente e de que estas estão disponíveis para o serviço Dispositivo de Resposta Online.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 18 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.18" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>