联机响应程序服务正尝试使用无效的增量 CRL 。
Microsoft 联机响应程序服务的状态和功能与许多功能和组件之间存在依赖关系,包括能否及时访问证书吊销数据、证书颁发机构 (CA) 证书和链的有效性,以及整体系统响应和可用性。
确保增量 CRL 版本与基本 CRL 版本一致
增量证书吊销列表 (CRL) 只能与相应的基本 CRL 一起使用。要确保增量 CRL 版本与基本 CRL 版本一致,请执行以下操作:
检查证书颁发机构 (CA) 上是否存在 CRL 发布错误。
重新发布基本和增量 CRL。
在联机响应程序计算机上检查和更新本地 CRL。
在联机响应程序上刷新和更新吊销信息。
确认 CA 上和联机响应程序上配置的 CRL 分配点使用相同的位置。
更新吊销信息。
如果问题仍存在,请使用 CryptoAPI 2.0 诊断功能获取关于问题的详细信息。
要执行这些过程,您必须是托管联机响应程序的计算机上的本地管理员组成员,并且在托管 CA 的计算机上具有管理 CA 权限,或您已被委派适当的权限。
“检查 CA 上是否存在 CRL 发布错误”
要检查 CA 上是否存在 CRL 发布错误,请执行以下操作:
在 CA 上,单击“开始”,指向“管理工具”,然后单击“事件查看器”。
检查与 CRL 发布相关的其他错误或警告。有关详细信息,请参阅 http://go.microsoft.com/fwlink/?LinkId=102985。
解决发现的所有问题,然后重新发布基本和增量 CRL。
重新发布基本和增量 CRL
要重新发布基本和增量 CRL,请执行以下操作:
在 CA 中打开一个命令提示符窗口。
键入 certutil -crl,然后按 ENTER。
确认没有记录其他错误或事件。
在联机响应程序计算机上检查和更新本地 CRL
要确保当前基本和增量 CRL 在联机响应程序上可用,请执行以下操作:
在托管联机响应程序的计算机上,单击“开始”,键入 mmc,然后按 ENTER。
如果显示“用户帐户控制”对话框,请确认显示的操作正是你要执行的操作,然后单击“继续”。
在“文件”菜单上,依次单击“添加/删除管理单元”、“证书”、“添加”。
单击“服务”帐户,然后单击“下一步”。
在“选择服务”中,单击“联机响应程序服务”,再单击“完成”,然后单击“确定”。
根据支持联机响应程序服务的 CA 类型,为中级证书颁发机构或受信任的根证书颁发机构容器选择证书吊销列表文件夹。
检查在增量 CRL 的增量 CRL 指示器扩展名中指定的 BaseCRLNumber。该编号应引用已发布基本 CRL 的版本号。
如果该编号与已发布的基本 CRL 的版本号不一致,请在 CA 上打开命令提示符窗口并运行以下命令,以重新发布基本和增量 CRL:certutil -crl。
在联机响应程序上检索更新的 CRL 数据。进行此检查时,请在每个数组成员上重新启动联机响应程序服务,或在联机响应程序管理单元中右键单击数组配置,然后单击“刷新吊销数据”。然后确认基本和增量 CRL 版本号是否一致。
确认 CA 上和联机响应程序上配置的 CRL 分配点使用相同的位置
要确认 CA 上和联机响应程序上配置的 CRL 分配点是否使用相同的位置,请执行以下操作:
在联机响应程序上,单击“开始”,指向“管理工具”,然后单击“联机响应程序”。
在控制台树中,单击“吊销配置节点”。
在详细信息窗格中,右键单击在事件描述中指定的吊销配置,然后单击“编辑属性”。
单击“吊销提供程序”选项卡,然后单击“提供程序”。记下在基本 CRL 和增量 CRL 中配置的 URL。
确认联机响应程序计算机可访问这些位置。
打开证书颁发机构管理单元,右键单击 CA 的名称,然后单击“属性”。
在“扩展名”选项卡上,选择 CRL 分配点扩展点,记下列出的 URL,然后确认两台计算机上的 URL 是否使用相同的位置。
更新吊销信息
检索更新的 CRL 以更新吊销信息。更新的 CRL 可通过以下方式进行检索:
使用服务管理单元控制台重新启动联机响应程序服务
使用联机响应程序管理单元刷新吊销数据,并确认错误不再出现
要使用服务管理单元控制台来更新联机响应程序的吊销信息,请执行以下操作:
在联机响应程序上,单击“开始”,指向“管理工具”,然后单击“服务”。
单击“联机响应程序服务”,然后单击“重新启动”。
要使用联机响应程序管理单元来更新联机响应程序的吊销信息,请执行以下操作:
在托管联机响应程序的计算机上,单击“开始”,指向“管理工具”,然后单击“联机响应程序”。
右键单击数组配置,然后单击“刷新吊销数据”。
确认不再报告其他错误。
单击“联机响应程序”节点,然后确认列出的吊销配置显示为“工作正常”。
在“数组配置”下,选择记录错误的联机响应程序计算机,然后单击错误中指出的吊销配置。
在详细信息窗格下,查看“吊销配置状态”窗格中签名证书的状态和吊销提供程序。
确认不再报告其他错误。
启用 CryptoAPI 2.0 诊断功能
要启用 CryptoAPI 2.0 诊断功能,请执行以下操作:
在联机响应程序上,单击“开始”,指向“管理工具”,然后单击“事件查看器”。
在控制台树中,展开“事件查看器”、“应用程序和服务日志”、“Microsoft”、“Windows”、“CAPI2”。
右键单击“可操作”,然后单击“启用日志”。
单击“开始”,指向“管理工具”,然后单击“服务”。
右键单击“Active Directory 证书服务”,然后单击“重新启动”。
根据上述过程的结果和是否启用 CryptoAPI 2.0 诊断功能,请确保 CA 正确发布 CRL,且可供联机响应程序服务使用。
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 18 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.18" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>