Az Online válaszadó szolgáltatás a visszavont tanúsítványok érvénytelen különbözeti listáját próbálja használni.
A Microsoft Online válaszadó szolgáltatás állapota és működése számos szolgáltatástól és összetevőtől függ, például a tanúsítvány-visszavonási adatok időben történő elérésétől, a hitelesítésszolgáltató tanúsítványának és láncának érvényességétől, illetve a rendszer általános válaszképességétől és elérhetőségétől.
Annak ellenőrzése, hogy a visszavont tanúsítványok különbözeti listájának verziója megegyezik a visszavont tanúsítványok kiindulási listájának verziójával
A visszavont tanúsítványok különbözeti listája csak a visszavont tanúsítványok megfelelő kiindulási listájával használható. Annak ellenőrzéséhez, hogy a visszavont tanúsítványok különbözeti listájának verziója megegyezik a visszavont tanúsítványok kiindulási listájának verziójával, hajtsa végre a következő műveleteket:
Ellenőrizze a visszavont tanúsítványok listájának közzétételi hibáit a hitelesítésszolgáltatón.
Tegyen újra közzé kiindulási és különbözeti CRL listákat.
Ellenőrizze és frissítse a helyi visszavont tanúsítványok listákat az online válaszadó számítógépen.
Frissítse a visszavonási adatokat az online válaszadóban.
Ellenőrizze, hogy a visszavont tanúsítványok listájának konfigurált terjesztési pontjai a hitelesítésszolgáltatón és az online válaszadón ugyanazt a helyet használják-e.
Frissítse a visszavonási adatokat.
Ha a probléma továbbra is fennáll, a CryptoAPI 2.0 diagnosztikai eszköz segítségével gyűjtsön további információt a problémáról.
A műveleteket akkor hajthatja végre, ha a helyi Rendszergazdák csoport tagja az online válaszadót üzemeltető számítógépen, és rendelkezik hitelesítésszolgáltató-kezelési engedélyekkel a hitelesítésszolgáltatót üzemeltető számítógépen, vagy delegálás útján megkapta a megfelelő jogosultságokat.
A CRL-közzétételi hibák ellenőrzése a hitelesítésszolgáltatón
A CRL-közzétételi hibák hitelesítésszolgáltatón történő ellenőrzéséhez hajtsa végre a következő műveleteket:
A hitelesítésszolgáltatón kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson az Eseménynapló lehetőségre.
Keressen a visszavont tanúsítványok listájának közzétételével kapcsolatos további hibákat vagy figyelmeztetéseket. További információt a következő oldalon talál: http://go.microsoft.com/fwlink/?LinkId=102985.
Oldjon meg minden azonosított problémát, majd tegye ismét közzé a kiindulási és a különbözeti CRL listákat.
Kiindulási és különbözeti CRL-ek újbóli közzététele
A kiindulási és különbözeti CRL listák újbóli közzétételéhez hajtsa végre a következő műveleteket:
Nyisson meg egy parancsablakot a hitelesítésszolgáltatón.
Írja be a certutil -crl parancsot, és nyomja le az ENTER billentyűt.
Ellenőrizze, hogy nem lettek-e további hibák vagy események naplózva.
A helyi CRL-ek ellenőrzése és frissítése az online válaszadó számítógépen
Annak ellenőrzéséhez, hogy az aktuális kiindulási és különbözeti visszavont tanúsítványok listák elérhetők az online válaszadón, hajtsa végre a következő műveleteket:
Az online válaszadót üzemeltető számítógépen kattintson a Start gombra, írja be az mmc parancsot, majd nyomja le az ENTER billentyűt.
Ha megjelenik a Felhasználói fiókok felügyelete párbeszédpanel, erősítse meg, hogy valóban az abban megjelenített műveletet szeretné végrehajtani, majd kattintson a Folytatás gombra.
Kattintson a Fájl menü Beépülő modul hozzáadása/eltávolítása parancsára, kattintson a Tanúsítványok elemre, majd a Hozzáadás gombra.
Kattintson a Szolgáltatásfiók elemre, majd kattintson a Tovább gombra.
A Szolgáltatás kiválasztása részben kattintson az Online válaszadó szolgáltatás elemre, kattintson a Befejezés gombra, majd az OK gombra.
Válassza ki a Közbenső szintű hitelesítésszolgáltatók vagy a Megbízható legfelső szintű hitelesítésszolgáltatók tároló Visszavont tanúsítványok listája mappáját az Online válaszadó szolgáltatást támogató hitelesítésszolgáltató típusától függően.
Ellenőrizze a különbözeti CLR különbözeti CLR jelző bővítményében megadott BaseCRLNumber értéket. Ez a szám a közzétett kiindulási visszavont tanúsítványok listájának verziószáma.
Ha ez a szám nem egyezik meg a visszavont tanúsítványok közzétett kiindulási listájának verziószámával, tegye újból közzé a visszavont tanúsítványok kiindulási és különbözeti listáját a hitelesítésszolgáltatón egy parancsablak megnyitásával, majd a következő parancs futtatásával: certutil -crl.
Kérje le a frissített visszavont tanúsítványok listájának adatait az online válaszadón. Ehhez indítsa újra az Online válaszadó szolgáltatást minden tömbtagon, vagy kattintson a jobb gombbal a Tömbkonfiguráció elemre az Online válaszadó beépülő modulban, és kattintson a Visszavonási adatok frissítése parancsra. Ezután ellenőrizze, hogy a kiindulási és a különbözeti visszavont tanúsítványok listájának verziószáma megegyezik-e.
Annak ellenőrzése, hogy a visszavont tanúsítványok listájának konfigurált terjesztési pontjai a hitelesítésszolgáltatón és az online válaszadón ugyanazt a helyet használják-e
Annak ellenőrzéséhez, hogy a visszavont tanúsítványok listájának konfigurált terjesztési pontjai a hitelesítésszolgáltatón és az online válaszadón ugyanazt a helyet használják-e, hajtsa végre a következő műveleteket:
Az online válaszadón kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson az Online válaszadó lehetőségre.
A konzolfán válassza ki a visszavonási konfiguráció csomópontot.
A részleteket tartalmazó panelen kattintson a jobb gombbal az eseményleírásban megadott visszavonási konfigurációra, és kattintson a Tulajdonságok szerkesztése lehetőségre.
Kattintson a Visszavonás-szolgáltató fülre, és kattintson a Szolgáltató lehetőségre. Jegyezze fel a kiindulási és a különbözeti CRL listákban konfigurált URL-címeket.
Ellenőrizze, hogy az online válaszadó számítógép hozzáfér-e ezekhez a helyekhez.
Nyissa meg a Hitelesítésszolgáltató beépülő modult, kattintson a jobb gombbal a hitelesítésszolgáltató nevére, majd kattintson a Tulajdonságok parancsra.
A Bővítmények lapon válassza ki a visszavont tanúsítványok lista terjesztési pontjának bővítményét, jegyezze fel a felsorolt URL-címeket, és ellenőrizze, hogy az URL-címek a két számítógépen ugyanazt a helyet használják-e.
Visszavonási adatok frissítése
A visszavonási adatokat egy frissített visszavont tanúsítványok lista lekérésével frissítheti. A visszavont tanúsítványok frissített listája a következő módszerekkel kérhető le:
Az Online válaszadó szolgáltatás újraindítása a Szolgáltatások beépülő modullal
A visszavonási adatok frissítése az Online válaszadó beépülő modullal és annak ellenőrzése, hogy a hiba nem jelenik meg
Az Online válaszadó szolgáltatás visszavonási adatainak frissítéséhez a Szolgáltatások beépülő modullal hajtsa végre a következő műveleteket:
Az online válaszadón kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson a Szolgáltatások lehetőségre.
Kattintson az Online válaszadó szolgáltatások elemre, majd kattintson az Újraindítás lehetőségre.
Az Online válaszadó szolgáltatás visszavonási adatainak frissítéséhez az Online válaszadó beépülő modullal hajtsa végre a következő műveleteket:
Az online válaszadót üzemeltető számítógépen kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson az Online válaszadó lehetőségre.
Kattintson a jobb gombbal a Tömbkonfiguráció elemre, majd kattintson a Visszavonási adatok frissítése elemre.
Ellenőrizze, hogy nincsenek-e egyéb jelentett hibák.
Kattintson az Online válaszadó csomópontra, és ellenőrizze, hogy a visszavonási konfiguráció állapota Működik értékű-e.
A Tömbkonfiguráció alatt válassza ki az online válaszadó számítógépet, amely naplózta a hibát, majd kattintson a hibában megnevezett visszavonási konfigurációra.
A részleteket tartalmazó panel alatt a Visszavonási konfiguráció állapota panelen tekintse meg az aláíró tanúsítvány és a visszavonási szolgáltató állapotát.
Ellenőrizze, hogy nincsenek-e egyéb jelentett hibák.
A CryptoAPI 2.0 diagnosztikai eszköz engedélyezése
A CryptoAPI 2.0 diagnosztikai eszköz engedélyezéséhez tegye a következőket:
Az online válaszadón kattintson a Start gombra, mutasson a Felügyeleti eszközök elemre, és kattintson az Eseménynapló lehetőségre.
A konzolfában bontsa ki az Eseménynapló, az Alkalmazások és szolgáltatásnaplók, a Microsoft, a Windows és a CAPI2 csomópontot.
Kattintson a jobb gombbal a Működési elemre, majd kattintson a Naplózás engedélyezése parancsra.
Kattintson a Start menü Felügyeleti eszközök pontjára, majd kattintson a Szolgáltatások lehetőségre.
Kattintson a jobb gombbal az Active Directory Tanúsítványszolgáltatás elemre, majd kattintson az Újraindítás lehetőségre.
A fenti eljárások eredményétől és a CryptoAPI 2.0 diagnosztikai eszköz engedélyezésétől függően győződjön meg arról, hogy a hitelesítésszolgáltató helyesen teszi közzé a CRL listákat, és hogy azok elérhetők az Online válaszadó szolgáltatás számára.
| Target | Microsoft.Windows.CertificateServices.CARole.2016 |
| Category | EventCollection |
| Enabled | True |
| Event_ID | 18 |
| Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
| Alert Generate | False |
| Remotable | True |
| Event Log | Application |
| ID | Module Type | TypeId | RunAs |
|---|---|---|---|
| DS | DataSource | Microsoft.Windows.EventProvider | Default |
| WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
| WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
Home
HUN <Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.18" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>