De Online Responder-service probeert een ongeldige delta-CRL te gebruiken.
De status en het functioneren van de Microsoft Online Responder-service is afhankelijk van talloze factoren, waaronder de mogelijkheid om tijdig toegang te krijgen tot certificaatintrekkingsgegevens, de geldigheid van het certificaat en de keten van de certificeringsinstantie (CA) en de response en beschikbaarheid van het systeem.
Ervoor zorgen dat de versie van de delta-CRL overeenkomt met de versie van de basis-CRL
Een deltacertificaatintrekkingslijst (CRL) kan alleen worden gebruikt met een overeenkomende basis-CRL. Ga als volgt te werk om er voor te zorgen dat de versie van de delta-CRL overeenkomt met de versie van de basis-CRL:
Controleer op CRL-publicatiefouten op de certificeringsinstantie (CA).
Publiceer de basis- en delta-CRL opnieuw.
Controleer de lokale CRL's op de Online Responder-computer en werk ze bij.
Vernieuw de intrekkingsgegevens van de Online Responder en werk ze bij.
Controleer of de geconfigureerde CRL-distributiepunten van de CA en Online Responder dezelfde locatie gebruiken.
Werk de intrekkingsgegevens bij.
Als het probleem blijft bestaan, gebruik dan CryptoAPI 2.0 Diagnostics om extra gegevens over het probleem te verzamelen.
Als u deze procedure wilt uitvoeren, moet u lid zijn van de groep lokale administrators op de computer die als host voor de Online Responder optreedt en machtiging CA beheren hebben of moet aan u de juiste bevoegdheid zijn gedelegeerd.
Controleren op CRL-publicatiefouten in de certificeringsinstantie (CA)
Ga als volgt te werk om op CRL-publicatiefouten te controleren in de certificeringsinstantie (CA):
Klik in de CA op Start, wijs Systeembeheer aan en klik op Logboeken.
Controleer of er andere fouten of waarschuwingen worden weergegeven die betrekking hebben op het publiceren van CRL's. Zie http://go.microsoft.com/fwlink/?LinkId=102985 voor meer informatie.
Los alle geïdentificeerde problemen op en publiceer zowel de basis- als de delta-CRL opnieuw.
Basis- en delta-CRL opnieuw publiceren
Ga als volgt te werk om de basis- en delta-CRL's opnieuw te publiceren:
Open een opdrachtpromptvenster op de CA.
Typ certutil -crl en druk op ENTER.
Controleer of er verder geen fouten of gebeurtenissen in het logboek zijn vastgelegd.
Controleer lokale CRL's op de Online Responder-computer en werk ze bij.
Ervoor zorgen dat de huidige basis- en delta-CRL's beschikbaar zijn op de Online Responder:
Klik op de computer die als host van de Online Responder optreedt op Start, typ mmc en druk op ENTER.
Als het dialoogvenster Gebruikersaccountbeheer wordt weergegeven, controleert u of de gewenste actie wordt weergegeven en klikt u op Doorgaan.
Klik in het menu Bestand op Module toevoegen/verwijderen, klik op Certificaten en klik vervolgens op Toevoegen.
Klik op Serviceaccount en klik op Volgende.
Klik in Service selecteren op Online Responder-service, klik op Voltooien en klik vervolgens op OK.
Selecteer de map Certificaatintrekkingslijst voor de container Tussenliggende certificeringsinstanties of de container Vertrouwde basiscertificeringsinstanties, afhankelijk van het type CA die de Online Responder-service ondersteunt.
Controleer het basis-CRL-nummer dat in de indicatoruitbreiding van de delta-CRL is opgegeven. Dit nummer verwijst naar het versienummer van een gepubliceerde basis-CRL.
Als dit nummer niet overeenkomt met het versienummer van een gepubliceerde basis-CRL, publiceert u zowel de basis- als de delta-CRL opnieuw door een opdrachtpromptvenster te openen op de CA en de volgende opdracht uit te voeren: certutil -crl.
Haal bijgewerkte CRL-gegevens op op de Online Responder. Start hiertoe de Online Responder-service opnieuw op voor elk matrixlid of klik met de rechtermuisknop op de matrixconfiguratie in de module Online Responder en klik op Intrekkingsgegevens vernieuwen. Controleer vervolgens of de versienummers van de basis-CRL en de delta-CRL overeenkomen.
Controleren of de geconfigureerde CRL-distributiepunten van de CA en de Online Responder dezelfde locatie gebruiken
Controleer als volgt of de geconfigureerde CRL-distributiepunten van de CA en de Online Responder dezelfde locatie gebruiken:
Klik op de Online Responder op Start, wijs Systeembeheer aan en klik op Online Responder.
Selecteer in de consolestructuur het knooppunt van intrekkingsconfiguraties.
Klik in het detailvenster met de rechtermuisknop op de intrekkingsconfiguratie die in de beschrijving van de gebeurtenis wordt vermeld en klik op Eigenschappen bewerken.
Klik op het tabblad Intrekkingsprovider en klik op Provider. Bekijk de URL's die zijn geconfigureerd in Basis-CRL's en Delta-CRL's.
Controleer of de Online Responder-computer toegang heeft tot deze locaties.
Open de module Certificeringsinstantie en klik met de rechtermuisknop op de naam van de CA en klik op Eigenschappen.
Selecteer op het tabblad Extensies de extensie CRL-distributiepunt, bekijk de URL's die worden weergegeven en controleer of de URL's op de twee computers dezelfde locatie gebruiken.
Intrekkingsgegevens bijwerken
U kunt intrekkingsgegevens bijwerken door een bijgewerkte CRL op te halen. Een bijgewerkte CRL worden opgehaald met:
U kunt de console van de module Services gebruiken om de Online Responder-service opnieuw te starten
U kunt de module Online Responder gebruiken om intrekkingsgegevens te vernieuwen en te controleren of de fout niet opnieuw wordt weergegeven
Ga als volgt te werk om de intrekkingsgegevens voor een Online Responder bij te werken via de console van de module Services:
Klik op de Online Responder op Start, wijs Systeembeheer aan en klik op Services.
Klik op Online Responder-services en klik op Opnieuw starten.
Ga als volgt te werk om de intrekkingsgegevens voor een Online Responder bij te werken met de module Online Responder:
Klik op de computer die als host van de Online Responder optreedt op Start, wijs Systeembeheer aan en klik op Online Responder.
Klik met de rechtermuisknop op Matrixconfiguratie en klik op Intrekkingsgegevens vernieuwen.
Controleer of er geen nieuwe fouten worden weergegeven.
Klik op het knooppunt van de Online Responder en controleer of bij de intrekkingsconfiguratie ???Actief wordt weergegeven.
Selecteer onder Matrixconfiguratie de Online Responder-computer die de fout heeft vastgelegd en klik vervolgens op de intrekkingsconfiguratie die in de fout wordt genoemd.
Bekijk onder het detailvenster het deelvenster Status van de intrekkingsconfiguratie voor de status van het handtekeningcertificaat en de intrekkingsprovider.
Controleer of er geen nieuwe fouten worden weergegeven.
CryptoAPI 2.0 Diagnostics inschakelen
U schakelt CryptoAPI 2.0 Diagnostics als volgt in:
Klik op de Online Responder op Start, wijs Systeembeheer aan en klik op Logboeken.
Vouw in de consolestructuur achtereenvolgens Logboeken, Logboeken Toepassingen en Services, Microsoft, Windows en CAP12 uit.
Klik met de rechtermuisknop op Operationeel en klik op Logboek inschakelen.
Klik op Start, wijs Systeembeheer aan en klik op Services.
Klik met de rechtermuisknop op Active Directory Certificate Services en klik op Opnieuw starten.
Zorg ervoor, afhankelijk van de resultaten van de bovenstaande procedures en het inschakelen van CryptoAPI 2.0 Diagnostics, dat de CA de CRL's goed publiceert en dat ze beschikbaar zijn voor de Online Responder-service.
Target | Microsoft.Windows.CertificateServices.CARole.2016 |
Category | EventCollection |
Enabled | True |
Event_ID | 18 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.2016.OCSPEvents.RevocationProvider.18" Enabled="true" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.2016" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">18</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>