Služba Online respondér nemohla získat přístup k seznamu odvolaných certifikátů.
Stav a funkce služby Online respondér společnosti Microsoft závisí na řadě funkcí a komponent včetně schopnosti včasného přístupu k údajům o odvolání certifikátů, platnosti certifikátu a řetězu certifikační autority (CA) a celkové reakce a dostupnosti systému.
Umožněte přístup k aktuálním seznamům odvolaných certifikátů
Postup odstranění tohoto problému:
Na certifikační autoritě (CA) vyhledejte chyby publikování seznamu odvolaných certifikátů (CRL).
Pokud nastal problém s posledním publikováním, zopakujte publikování nejnovějšího základního a rozdílového seznamu odvolaných certifikátů.
Zkontrolujte platnost adres URL nastavených pro konfiguraci odvolání.
Aktualizujte informace o konfiguraci odvolání.
Pokud chyba přetrvává, zapněte diagnostiku CryptoAPI 2.0, s jejíž pomocí získáte další informace.
Abyste mohli provést tyto postupy, musíte být členem místní skupiny Správci na počítači hostujícím službu Online respondér a musíte mít oprávnění ke správě certifikační autority na počítači hostujícím certifikační autoritu, nebo musíte mít přiděleno příslušné oprávnění.
Zkontrolujte chyby publikování seznamu odvolaných certifikátů na certifikační autoritě (CA)
Postup kontroly chyb publikování seznamu CRL na certifikační autoritě:
Na certifikační autoritě klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Prohlížeč událostí.
Vyhledejte další chybové zprávy nebo upozornění týkající se publikování seznamu odvolaných certifikátů. Další informace viz http://go.microsoft.com/fwlink/?LinkId=102985.
Vyřešte jakékoli zjištěné problémy a znovu publikujte základní i rozdílový seznam odvolaných certifikátů.
Opětovné publikování základního a rozdílového seznamu odvolaných certifikátů
Postup opětovného publikování základního a rozdílového seznamu odvolaných certifikátů:
Otevřete okno příkazového řádku na certifikační autoritě.
Zadejte příkaz certutil -crl a stiskněte klávesu ENTER.
Zkontrolujte, zda nejsou zaprotokolovány žádné další chybové zprávy nebo události.
Zkontrolujte, zda jsou platné adresy nakonfigurované pro distribuční místa základního a rozdílového seznamu odvolaných certifikátů
Postup kontroly, zda jsou platné adresy nakonfigurované pro distribuční místa základního a rozdílového seznamu odvolaných certifikátů:
Na počítači hostujícím službu Online respondér klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Online respondér.
Vyberte uzel konfigurace odvolání.
V podokně podrobností klikněte pravým tlačítkem na konfiguraci odvolání uvedenou v popisu chybové zprávy a klikněte na Upravit vlastnosti.
Klikněte na kartu Zprostředkovatel odvolání a klikněte na Zprostředkovatel.
Zaznamenejte si adresy URL nakonfigurované v adresách URL základního seznamu CRL a adresách URL rozdílového seznamu CRL.
Zkontrolujte, zda jsou tyto adresy URL přístupné počítači, na kterém je spuštěna služba Online respondér, a zda obsahují platné soubory CRL publikované certifikační autoritou.
Ke kontrole adres URL, na které bude certifikační autorita publikovat základní a rozdílový seznam odvolaných certifikátů, lze rovněž použít modul snap-in Certifikační autorita.
Ověření vztahu distribučních míst seznamu odvolaných certifikátů a certifikační autority
Postup ověření vztahu distribučních míst seznamu odvolaných certifikátů a certifikační autority:
Na počítači hostujícím certifikační autoritu klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na možnost Certifikační autorita.
Klikněte na kartu Rozšíření a poznamenejte si adresy URL zadané pro rozšíření Distribuční místo seznamu CRL (CDP). Poznačte si adresy URL, pro které jsou vybrány možnosti Publikovat seznamy CRL do tohoto umístění a Publikovat rozdílové seznamy CRL do tohoto umístění
Zkontrolujte, zda se jedná o stejná síťová umístění, jaká byla nastavena pro základní a rozdílový seznam odvolaných certifikátů v modulu snap-in Online respondér.
Na počítači, do kterého se publikuje základní seznam odvolaných certifikátů, zkontrolujte rozšíření Nejčerstvější seznam CRL pro základní seznam CRL. Zkontrolujte, zda je zde uvedeno umístění, kde se nachází rozdílový seznam odvolaných certifikátů.
V případě potřeby otevřete okno příkazového řádku na certifikační autoritě a pomocí příkazu certutil -crl znovu publikujte aktuální seznam CRL.
Poté zkontrolujte, zda má Online respondér přístup k seznamu odvolaných certifikátů. To se provádí otevřením modulu snap-in Online respondér, kliknutím pravým tlačítkem na Konfigurace pole a kliknutím na Obnovit data o odvolání.
Aktualizace informací o odvolání
Informace o odvolání je možné aktualizovat načtením aktualizovaného seznamu odvolaných certifikátů. Aktualizovaný seznam odvolaných certifikátů lze načíst:
Pomocí konzoly modulu snap-in služeb restartujte službu Online respondér.
Pomocí modulu snap-in Online respondér obnovte data o odvolání a zkontrolujte, zda se chyba neobjeví znovu.
Aktualizace informací o odvolání pro službu Online respondér pomocí konzoly snap-in služeb:
Ve službě Online respondér klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.
Klikněte na Služba Online respondér a klikněte na Restartovat.
Postup aktualizace informací o odvolání pro službu Online respondér pomocí modulu snap-in Online respondér:
Na počítači hostujícím službu Online respondér klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Online respondér.
Klikněte pravým tlačítkem na Konfigurace pole a klikněte na Obnovit data o odvolání.
Zkontrolujte, zda nejsou hlášeny další chyby.
Klikněte na uzel Online respondéru a zkontrolujte, zda je konfigurace odvolání ve stavu Pracuje.
V položce Konfigurace pole vyberte počítač Online respondéru, který zaprotokoloval chybu, a poté klikněte na konfiguraci odvolání uvedenou v chybě.
V podokně podrobností se podívejte na panel Stav konfigurace odvolání a zjistěte stav podpisového certifikátu a zprostředkovatele odvolání.
Zkontrolujte, zda nejsou hlášeny další chyby.
Povolte diagnostiku CryptoAPI 2.0
Postup povolení diagnostiky CryptoAPI 2.0:
Ve službě Online respondér klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Prohlížeč událostí.
Ve stromu konzoly rozbalte položku Prohlížeč událostí, Protokoly aplikací a služeb, Microsoft, Windows a CAPI2.
Klikněte pravým tlačítkem na položku Funkční a klikněte na Povolit protokol.
Klikněte na tlačítko Start, přesuňte ukazatel na Nástroje pro správu a klikněte na Služby.
Klikněte pravým tlačítkem na službu AD CS (Active Directory Certificate Services) a na Restartovat.
V závislosti na výsledcích výše uvedených postupů a po aktivaci diagnostiky CryptoAPI 2.0 zkontrolujte, zda certifikační autorita správně publikuje seznamy odvolaných certifikátů a zda jsou tyto seznamy dostupné službě Online respondér.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 |
Category | EventCollection |
Enabled | True |
Event_ID | 17 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.OCSPEvents.RevocationProvider.17" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">17</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>