Servizio Risponditore online: impossibile accedere a un elenco di revoche di certificati.
Lo stato e il funzionamento del servizio Risponditore online di Microsoft dipendono da numerose funzionalità e componenti, tra cui la possibilità di accedere tempestivamente ai dati di revoca dei certificati, la validità del certificato e della catena dell'autorità di certificazione (CA) e la reattività e disponibilità generali del sistema.
Abilitazione dell'accesso agli elenchi di revoche di certificati attuali
Per correggere questo problema:
Sull'autorità di certificazione (CA), verificare la presenza di errori di pubblicazione degli elenchi di revoche di certificati.
Se si è verificato un problema nell'ultima pubblicazione, ripubblicare gli ultimi Delta CRL e Base CRL.
Verificare la validità degli URL configurati per la configurazione di revoca.
Aggiornare le informazioni della configurazione di revoca.
Se l'errore persiste, attivare la diagnostica CrytpoAPI 2.0 per ulteriori informazioni.
Per eseguire queste procedure, è necessario essere un membro del gruppo Administrators locale sul computer su cui si trova Risponditore online e disporre di autorizzazioni Gestione CA sul computer su cui si trova la CA, o avere ricevuto in delega l'autorità appropriata.
Verifica della presenza di errori di pubblicazione del CRL nella CA
Per verificare la presenza di errori di pubblicazione del CRL nella CA:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic sul Visualizzatore eventi.
Verificare la presenza di altri messaggi di errore o avvisi relativi alla pubblicazione del CRL. Per ulteriori informazioni, vedere http://go.microsoft.com/fwlink/?LinkId=102985.
Risolvere i problemi individuati e ripubblicare Delta CRL e Base CRL.
Ripubblicazione di Delta CRL e Base CRL
Per ripubblicare Delta CRL e Base CRL:
Aprire una finestra del prompt dei comandi sulla CA.
Digitare certutil -crl e premere INVIO.
Verificare che non vengano registrati altri messaggi di errore.
Verifica della validità degli URL configurati per i punti di distribuzione Elenco di revoche di certificati (CRL) di Base CRL e Delta CRL
Per verificare la validità degli URL configurati per i punti di distribuzione Elenco di revoche di certificati (CRL) di Base CRL e Delta CRL:
Sul computer su cui si trova il Risponditore online, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Risponditore online.
Selezionare il nodo della configurazione di revoca.
Nel riquadro dei dettagli, fare clic con il pulsante destro del mouse sulla configurazione di revoca specificata nella descrizione del messaggio di errore, quindi fare clic su Modifica proprietà.
Fare clic sulla scheda Provider di revoca, quindi fare clic su Provider.
Prendere nota degli URL configurati negli URL Base CRL e URL Delta CRL.
Verificare che questi URL siano accessibili dal computer su cui è in esecuzione il Risponditore online e che contengano file CRL validi pubblicati dalla CA.
È inoltre possibile utilizzare lo snap-in Autorità di certificazione per verificare gli URL nei quali la CA pubblicherà i Base CRL e i Delta CRL.
Verifica della relazione tra i punti di distribuzione Elenco di revoche di certificati (CRL) e una CA
Per verificare la relazione tra i punti di distribuzione Elenco di revoche di certificati (CRL) e una CA:
Sul computer su cui si trova la CA, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Autorità di certificazione.
Fare clic sulla scheda Estensioni, quindi prendere nota degli URL inseriti per l'estensione Punto di distribuzione CRL. Prendere nota degli URL per i quali sono selezionate le opzioni Pubblica CRL nel percorso specificato e Pubblica Delta CRL in questa posizione.
Verificare si tratti degli stessi percorsi di rete configurati come base Delta CRL e Base CRL nello snap-in Risponditore online.
Nel computer in cui è pubblicato il Base CRL esaminare l'estensione CRL più aggiornato per individuare il Base CRL. Verificare che quest'ultimo identifichi un percorso in cui è possibile trovare il Delta CRL.
Ripubblicare il CRL corrente, se necessario, aprendo una finestra del prompt dei comandi sulla CA ed eseguendo il seguente comando: certutil -crl.
Quindi, verificare che il Risponditore online possa accedere al CRL. A tale scopo, nello snap-in Risponditore online fare clic con il pulsante destro del mouse su Configurazione array e scegliere Aggiorna i dati di revoca.
Aggiornamento delle informazioni di revoca
È possibile aggiornare le informazioni di revoca recuperando un CRL aggiornato. Per recuperare un CRL aggiornato, è possibile in uno dei modi descritti di seguito:
Utilizzando la console snap-in Servizi per riavviare il servizio Risponditore online.
Utilizzando lo snap-in Risponditore online per aggiornare i dati di revoca e verificare che l'errore non venga visualizzato.
Per aggiornare le informazioni di revoca per un Risponditore online utilizzando la console snap-in Servizi:
Nel Risponditore online, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Servizi.
Fare clic su Servizi Risponditore online, quindi fare clic su Riavvia.
Per aggiornare le informazioni di revoca per un Risponditore online utilizzando la console snap-in Servizi:
Sul computer su cui si trova il Risponditore online, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Risponditore online.
Fare clic con il pulsante destro del mouse su Configurazione array, quindi scegliere Aggiorna i dati di revoca.
Verificare che non vengano segnalati altri errori.
Fare clic sul nodo Risponditore online e confermare che la configurazione di revoca sia elencata come Funzionante.
In Configurazione array, selezionare il computer su cui si trova Risponditore online che ha registrato l'errore, quindi fare clic sulla configurazione di revoca indicata nell'errore.
Sotto il riquadro dei dettagli, osservare nel riquadro Stato configurazione di revoca lo stato del certificato di firma e il provider di revoca.
Verificare che non vengano segnalati altri errori.
Attivazione della diagnostica CryptoAPI 2.0
Per attivare la diagnostica CryptoAPI 2.0:
Nel Risponditore online, fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Visualizzatore eventi.
Nell'albero della console, espandere Visualizzatore eventi, Registri applicazioni e servizi, Microsoft, Windows e CAPI2.
Fare clic con il pulsante destro del mouse su Operativo, quindi fare clic su Attiva registro.
Fare clic su Start, scegliere Strumenti di amministrazione, quindi fare clic su Servizi.
Fare clic con il pulsante destro del mouse su Servizi certificati Active Directory, quindi fare clic su Riavvia.
In base ai risultati delle procedure descritte sopra e dopo avere attivato la diagnostica CryptoAPI 2.0, assicurarsi che la CA pubblichi i CRL correttamente e che essi siano disponibili per il servizio Risponditore online.
Target | Microsoft.Windows.CertificateServices.CARole.6.2 |
Category | EventCollection |
Enabled | True |
Event_ID | 17 |
Event Source | Microsoft-Windows-OnlineResponderRevocationProvider |
Alert Generate | False |
Remotable | True |
Event Log | Application |
ID | Module Type | TypeId | RunAs |
---|---|---|---|
DS | DataSource | Microsoft.Windows.EventProvider | Default |
WriteToDB | WriteAction | Microsoft.SystemCenter.CollectEvent | Default |
WriteToOCSPEvents | WriteAction | Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher | Default |
<Rule ID="Microsoft.Windows.CertificateServices.CARole.6.2.OCSPEvents.RevocationProvider.17" Enabled="onEssentialMonitoring" Target="CSDisc!Microsoft.Windows.CertificateServices.CARole.6.2" ConfirmDelivery="true" Remotable="true" Priority="Normal" DiscardLevel="100">
<Category>EventCollection</Category>
<DataSources>
<DataSource ID="DS" TypeID="Windows!Microsoft.Windows.EventProvider">
<ComputerName>$Target/Host/Property[Type="Windows!Microsoft.Windows.Computer"]/NetworkName$</ComputerName>
<LogName>Application</LogName>
<Expression>
<And>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="UnsignedInteger">EventDisplayNumber</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="UnsignedInteger">17</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
<Expression>
<SimpleExpression>
<ValueExpression>
<XPathQuery Type="String">PublisherName</XPathQuery>
</ValueExpression>
<Operator>Equal</Operator>
<ValueExpression>
<Value Type="String">Microsoft-Windows-OnlineResponderRevocationProvider</Value>
</ValueExpression>
</SimpleExpression>
</Expression>
</And>
</Expression>
</DataSource>
</DataSources>
<WriteActions>
<WriteAction ID="WriteToDB" TypeID="SC!Microsoft.SystemCenter.CollectEvent"/>
<WriteAction ID="WriteToOCSPEvents" TypeID="Microsoft.Windows.CertificateServices.CARole.OCSPEvents.Publisher"/>
</WriteActions>
</Rule>