Esta secção apresenta alguns problemas comuns que poderão ocorrer ao utilizar o snap-in Dispositivo de Resposta Online ou ao trabalhar com Matrizes de Dispositivos de Resposta Online. Para mais informações sobre como resolver problemas relacionados com Dispositivos de Resposta Online, consulte Resolução de Problemas de Serviços de Certificados do Active Directory (AD CS) (https://go.microsoft.com/fwlink/?LinkId=89215).

Qual é o problema?

O serviço Dispositivo de Resposta Online não foi iniciado.
  • Causa: O arranque do serviço Dispositivo de Resposta Online pode falhar devido a informações do registo danificadas ou recursos do sistema insuficientes.

  • Solução: Tente reiniciar o serviço Dispositivo de Resposta Online a partir do snap-in Serviços (Services.msc). Se o arranque do serviço Dispositivo de Resposta Online falhar, verifique a existência de outros erros no registo de eventos que possam estar relacionados com esta falha. Se não estiverem disponíveis recursos do sistema suficientes para iniciar o serviço Dispositivo de Resposta Online, experimente reiniciar o computador ou libertar recursos do sistema. Se as informações do registo estiverem danificadas, terá de utilizar o Gestor de Servidor para desinstalar e reinstalar o serviço Dispositivo de Resposta Online.

Não foi possível localizar o certificado de assinatura do Dispositivo de Resposta Online.
  • Causa: O certificado de Assinatura de Resposta OCSP não se encontra presente no Arquivo de certificados pessoais da conta do computador ou, se o certificado de assinatura devia ter sido emitido utilizando a inscrição automática, esta não foi concluída.

  • Solução: Se um certificado de Assinatura de Resposta OCSP não se encontrar presente no Arquivo de certificados pessoais da conta do computador local, e a revogação estiver configurada para inscrição manual de certificado de Assinatura de Resposta OCSP ou detecção automática, deverá inscrever-se manualmente para um certificado. Para configurações em que o serviço Dispositivo de Resposta Online se inscrever para o respectivo certificado, a inscrição manual não funcionará, e terá de identificar o motivo pelo qual a inscrição automática não funcionou. Os motivos possíveis incluem:

    • O computador que executa o serviço Dispositivo de Resposta Online não consegue ligar a uma autoridade de certificação (AC) que tenha sido configurada para emitir certificados com base no modelo de Assinatura de Resposta OCSP.

    • O Dispositivo de Resposta Online não tem permissões de Leitura, Inscrição e, se a inscrição automática estiver a ser utilizada, permissões de Inscrição Automática no modelo de Assinatura de Resposta OCSP.

Falhou uma tentativa de criação de uma configuração de revogação.
  • Causa: Falhou uma tentativa de criação de uma configuração de revogação com a mensagem "Certificado de assinatura incorrecto no controlador da matriz".

  • Solução: Verifique se o modelo de certificado de Assinatura de Resposta OCSP foi devidamente configurado. Caso contrário, configure o modelo de certificado para permitir a inscrição manual destes certificados de assinatura.

A configuração do certificado de assinatura do Dispositivo de Resposta Online expirará em breve.
  • Causa: Quando a inscrição automática não estiver a ser utilizada, será automaticamente gerado um lembrete para renovar um certificado prestes a expirar quando faltar apenas uma percentagem configurada da duração do certificado (por predefinição, 10 porcento do período de validade total). Pode verificar o tempo restante no certificado de assinatura actual utilizando o snap-in Certificados para examinar o certificado de Assinatura de Resposta OCSP no Arquivo de certificados pessoais do computador ou o serviço Dispositivo de Resposta Online.

  • Solução: Se o modelo do certificado de Assinatura de Resposta OCSP tiver sido configurado para inscrição e renovação automática, poderá não ser necessária mais nenhuma acção. Para configurações manuais, poderá renovar o certificado de assinatura utilizando o snap-in Certificados e o Assistente de Renovação de Certificados.

A configuração do certificado de assinatura para revogação expirou.
  • Causa: A renovação automática do certificado de assinatura falhou, ou a renovação manual do certificado não foi concluída antes da data de expiração.

  • Solução: Para configurações em que o serviço Dispositivo de Resposta Online se inscrever para o respectivo certificado, a inscrição manual não funcionará, e terá de identificar o motivo pelo qual a inscrição automática não funcionou. Os motivos possíveis incluem:

    • O computador que executa o serviço Dispositivo de Resposta Online não consegue ligar a uma AC que tenha sido configurada para emitir certificados com base no modelo de Assinatura de Resposta OCSP.

    • O Dispositivo de Resposta Online não tem permissões de Leitura, Inscrição e Inscrição Automática no modelo de Assinatura de Resposta OCSP.

    Um administrador de AC deverá utilizar os snap-ins Autoridade de Certificação e Modelos de Certificado para verificar a disponibilidade e configuração do modelo de Assinatura de Resposta OCSP antes de voltar a tentar a inscrição automática.

    Se a configuração de revogação estiver configurada para inscrição manual do certificado de Assinatura de Resposta OCSP, localize o certificado de assinatura no Arquivo de certificados pessoais do computador local do Dispositivo de Resposta Online.

    Para configurações manuais, poderá renovar o certificado de assinatura utilizando o snap-in Certificados e o Assistente de Renovação de Certificados.

    Também é possível que o certificado de Assinatura de Resposta OCSP não tenha podido ser renovado porque a chave da AC utilizada para assinar o certificado de Assinatura de Resposta OCSP original tenha sido renovada e já não esteja disponível. Para resolver este problema, terá de permitir a renovação do certificado de Assinatura de Resposta OCSP com uma chave existente. Para mais informações, consulte Renovar Certificados de Assinatura de Resposta OCSP com uma Chave Existente.

Não é possível carregar uma configuração de revogação do Dispositivo de Resposta Online.
  • Causa: A configuração de revogação foi danificada.

  • Solução: Utilize o snap-in Dispositivo de Resposta Online para eliminar e voltar a criar a configuração de revogação. Se este problema ocorreu num membro da Matriz, poderá eliminar a configuração danificada do membro da Matriz e sincronizá-la em seguida para voltar a criar a configuração de revogação. Se encontrar este problema num controlador da Matriz, defina temporariamente outro computador como controlador da Matriz, sincronize a Matriz e volte a definir o computador original como controlador da Matriz.

O serviço Dispositivo de Resposta Online não conseguir recuperar uma CRL para a configuração de revogação especificada.
  • Causa: A publicação da CRL (Lista de Revogação de Certificados) falhou, os pontos de distribuição da CRL não são válidos ou o serviço Dispositivo de Resposta Online não conseguiu aceder à CRL publicada.

  • Solução: Para identificar e resolver problemas de recuperação da CRL de um Dispositivo de Resposta Online:

    1. Utilize o snap-in Dispositivo de Resposta Online para verificar se os URLs configurados como pontos de distribuição de CRLs base e delta são válidos.

    2. Utilize o snap-in Autoridade de Certificação para verificar os URLs em que a AC publicará as CRLs base e delta.

    3. No computador em que a CRL base é publicada, examine a extensão CRL mais recente quanto à CRL base. Verifique se identifica uma localização onde a CRL delta possa ser encontrada.

    4. Volte a publicar a CRL actual, se necessário, escrevendo o comando seguinte numa linha de comandos: certutil -crl

    5. Em seguida, verifique se o serviço Dispositivo de Resposta Online consegue aceder à CRL. A partir do snap-in Dispositivo de Resposta Online, clique com o botão direito do rato em Configuração da Matriz e clique em Actualizar Dados de Revogação.

Sumário