V tomto oddílu naleznete několik častých problémů, s nimiž se můžete setkat při použití modulu snap-in Online respondér nebo při práci s poli online respondérů. Další informace o řešení problémů s online respondéry naleznete v článku Active Directory Certificate Services Troubleshooting (Poradce při potížích se službou AD CS) (
S jakými potížemi jste se setkali?
-
Služba online respondéru nebyla spuštěna.
-
Podpisový certifikát online respondéru nebyl nalezen.
-
Pokus o vytvoření konfigurace odvolání se nezdařil.
-
Platnost podpisového certifikátu pro konfiguraci online respondéru brzy vyprší.
-
Platnost podpisového certifikátu pro konfiguraci odvolání vypršela.
-
Konfiguraci odvolání online respondéru nelze načíst.
-
Služba online respondéru nenačetla seznam CRL pro určenou konfiguraci odvolání.
Služba online respondéru nebyla spuštěna
-
Příčina: Spuštění Služby online respondéru se nemusí zdařit z důvodu poškozených informací registru nebo nedostatečných systémových prostředků.
-
Řešení: Pokuste se o spuštění Služby online respondéru z modulu snap-in Služby (Services.msc). Jestliže se spuštění Služby online respondéru nezdaří, vyhledejte v protokolu událostí jiné chyby, které mohou s touto chybou souviset. Pokud není ke spuštění Služby online respondéru dostatek systémových prostředků, pokuste se restartovat počítač nebo uvolněte systémové prostředky. Jsou-li poškozeny informace registru, je nutné odinstalovat a přeinstalovat Službu online respondéru pomocí Správce serveru.
Podpisový certifikát online respondéru nebyl nalezen
-
Příčina: Certifikát Podepisování odpovědí protokolu OCSP není umístěn v osobním úložišti certifikátů pro účet počítače nebo nebyl dokončen automatický zápis, pokud byl podpisový certifikát vystaven pomocí automatického zápisu.
-
Řešení: Není-li certifikát Podepisování odpovědí protokolu OCSP umístěn v osobním úložišti certifikátů pro místní počítač a odvolání je nakonfigurováno pro ruční zápis nebo automatické vyhledání certifikátu Podepisování odpovědí protokolu OCSP, měli byste provést ruční zápis certifikátu. U konfigurací, v nichž provádí zápis certifikátu Služba online respondéru, nebude ruční zápis fungovat a bude třeba zjistit důvod neprovedení automatického zápisu. K možným důvodům patří:
-
Počítač, v němž je spuštěna Služba online respondéru, se nemůže připojit k certifikační autoritě, která byla nakonfigurována k vystavování certifikátů na základě šablony Podepisování odpovědí protokolu OCSP.
-
Online respondér nemá oprávnění ke čtení, zápisu a automatickému zápisu (je-li používán automatický zápis) u šablony Podepisování odpovědí protokolu OCSP.
-
Počítač, v němž je spuštěna Služba online respondéru, se nemůže připojit k certifikační autoritě, která byla nakonfigurována k vystavování certifikátů na základě šablony Podepisování odpovědí protokolu OCSP.
Pokus o vytvoření konfigurace odvolání se nezdařil
-
Příčina: Pokus o vytvoření konfigurace odvolání se nezdařil a zobrazila se zpráva Chybný podpisový certifikát u řadiče pole.
-
Řešení: Ověřte, zda je správně nakonfigurována šablona certifikátu Podepisování odpovědí protokolu OCSP. Pokud nakonfigurována není, nakonfigurujte šablonu certifikátu tak, aby povolovala ruční zápis těchto podpisových certifikátů.
Platnost podpisového certifikátu pro konfiguraci online respondéru brzy vyprší
-
Příčina: Pokud není používán automatický zápis, bude při dosažení nastaveného procenta zbývající životnosti certifikátu (ve výchozím nastavení se jedná o 10 procent celkové doby platnosti) automaticky generováno připomenutí obnovení certifikátu s končící platností. Zbývající dobu platnosti aktuálního podpisového certifikátu je možné zkontrolovat pomocí modulu snap-in Certifikáty, v němž lze prohlédnout certifikát Podepisování odpovědí protokolu OCSP v osobním úložišti certifikátů v počítači nebo ve Službě online respondéru.
-
Řešení: Pokud byl v šabloně certifikátu Podepisování odpovědí protokolu OCSP nakonfigurován automatický zápis a obnovení, je možné, že další akce nebude nutná. U ručních konfigurací můžete podpisový certifikát obnovit pomocí modulu snap-in Certifikáty a Průvodce obnovením certifikátu.
Platnost podpisového certifikátu pro konfiguraci odvolání vypršela
-
Příčina: Automatické obnovení podpisového certifikátu se nezdařilo nebo ruční obnovení certifikátu nebylo dokončeno před uplynutím data vypršení platnosti.
-
Řešení: U konfigurací, v nichž provádí zápis certifikátu Služba online respondéru, nebude ruční zápis fungovat a bude třeba zjistit důvod neprovedení automatického zápisu. K možným důvodům patří:
-
Počítač, v němž je spuštěna Služba online respondéru, se nemůže připojit k certifikační autoritě, která byla nakonfigurována k vystavování certifikátů na základě šablony Podepisování odpovědí protokolu OCSP.
-
Online respondér nemá oprávnění ke čtení, zápisu a automatickému zápisu u šablony Podepisování odpovědí protokolu OCSP.
Pokud je v konfiguraci odvolání nastaven ruční zápis certifikátu Podepisování odpovědí protokolu OCSP, vyhledejte podpisový certifikát v osobním úložišti certifikátů místního počítače v počítači se Službou online respondéru.
U ručních konfigurací můžete podpisový certifikát obnovit pomocí modulu snap-in Certifikáty a Průvodce obnovením certifikátu.
Je také možné, že certifikát Podepisování odpovědí protokolu OCSP nemohl být obnoven z toho důvodu, že klíč certifikační autority, který byl použit k podepsání původního certifikátu Podepisování odpovědí protokolu OCSP, byl obnoven a není již k dispozici. Chcete-li tyto potíže odstranit, je nutné povolit obnovení certifikátu Podepisování odpovědí protokolu OCSP pomocí stávajícího klíče. Další informace naleznete v tématu Obnovení certifikátů Podepisování odpovědí protokolu OCSP pomocí stávajícího klíče.
-
Počítač, v němž je spuštěna Služba online respondéru, se nemůže připojit k certifikační autoritě, která byla nakonfigurována k vystavování certifikátů na základě šablony Podepisování odpovědí protokolu OCSP.
Konfiguraci odvolání online respondéru nelze načíst
-
Příčina: Konfigurace odvolání je poškozená.
-
Řešení: Pomocí modulu snap-in Online respondér odstraňte a znovu vytvořte konfiguraci odvolání. Jestliže potíže vznikly u člena pole, můžete odstranit poškozenou konfiguraci z člena pole a potom synchronizací pole znovu vytvořit konfiguraci odvolání. Pokud k potížím dochází u řadiče pole, nastavte dočasně jiný počítač jako řadič pole, synchronizujte pole a potom znovu nastavte původní počítač jako řadič pole.
Služba online respondéru nenačetla seznam CRL pro určenou konfiguraci odvolání
-
Příčina: Publikování seznamu odvolaných certifikátů (CRL) se nezdařilo, distribuční body seznamu CRL nejsou platné nebo Služba online respondéru nemůže získat přístup k publikovanému seznamu CRL.
-
Řešení: Identifikace a řešení potíží s načtením souboru CRL Službou online respondéru:
-
Pomocí modulu snap-in Online respondér ověřte, zda jsou adresy URL nakonfigurované pro distribuční body základního a rozdílového seznamu CRL platné.
-
Pomocí modulu snap-in Certifikační autorita ověřte adresy URL, na kterých bude certifikační autorita publikovat základní a rozdílový seznam CRL.
-
V počítači, v němž je publikován základní seznam CRL, prozkoumejte rozšíření Nejčerstvější seznam CRL základního seznamu CRL. Ověřte, zda identifikuje umístění rozdílového seznamu CRL.
-
V případě potřeby znovu publikujte aktuální seznam CRL zadáním následujícího příkazu na příkazovém řádku:
certutil -crl
-
Potom ověřte, zda má Služba online respondéru k seznamu CRL přístup. V modulu snap-in Online respondér klikněte pravým tlačítkem myši na položku Konfigurace pole a klikněte na příkaz Obnovit data o odvolání.
-
Pomocí modulu snap-in Online respondér ověřte, zda jsou adresy URL nakonfigurované pro distribuční body základního a rozdílového seznamu CRL platné.