In diesem Abschnitt werden die bekanntesten Probleme aufgelistet, die auftreten können, wenn Sie das Online-Responder-Snap-In oder Online-Responderarrays verwenden. Weitere Informationen zur Problembehandlung und zum Lösen von Problemen mit Online-Respondern finden Sie im Artikel zur Problembehandlung von Active Directory-Zertifikatsdiensten (
Welches Problem liegt vor?
-
Der Online-Responder-Dienst wurde nicht gestartet
-
Das Signaturzertifikat des Online-Responders konnte nicht gefunden werden
-
Es konnte keine Sperrkonfiguration erstellt werden
-
Das Signaturzertifikat für die Online-Responder-Konfiguration läuft bald ab
-
Das Signaturzertifikat für die Sperrkonfiguration ist abgelaufen
-
Eine Online-Responder-Sperrkonfiguration kann nicht geladen werden
-
Der Online-Responder-Dienst konnte für die angegebene Sperrkonfiguration keine Zertifikatsperrliste abrufen
Der Online-Responder-Dienst wurde nicht gestartet.
-
Ursache: Der Online-Responder-Dienst kann aufgrund beschädigter Registrierungsinformationen oder nicht ausreichender Systemressourcen möglicherweise nicht gestartet werden.
-
Lösung: Versuchen Sie, den Online-Responder-Dienst mit dem Snap-In Dienste (services.msc) neu zu starten. Sollte der Online-Responder-Dienst nicht gestartet werden, überprüfen Sie das Ereignisprotokoll auf andere mögliche Fehler in diesem Zusammenhang. Wenn die Systemressourcen zum Starten des Online-Responder-Diensts nicht ausreichen, starten Sie den Computer neu, oder geben Sie Systemressourcen frei. Wenn die Registrierungsinformationen beschädigt sind, müssen Sie den Online-Responder-Dienst mithilfe des Server-Managers deinstallieren und neu installieren.
Das Signaturzertifikat des Online-Responders konnte nicht gefunden werden.
-
Ursache: Es ist kein OCSP-Antwortsignaturzertifikat im persönlichen Zertifikatspeicher für das Computerkonto vorhanden, oder die automatische Registrierung wurde nicht abgeschlossen, wenn diese für das Ausstellen des Signaturzertifikats verwendet werden sollte.
-
Lösung: Wenn kein OCSP-Antwortsignaturzertifikat im persönlichen Zertifikatspeicher für den lokalen Computer vorhanden ist und die Sperrung für die manuelle Registrierung von OCSP-Antwortsignaturzertifikaten oder die automatische Erkennung konfiguriert wurde, müssen Sie sich manuell für ein Zertifikat registrieren. Bei Konfigurationen, in denen sich der Online-Responder-Dienst für sein Zertifikat registriert, kann die manuelle Registrierung nicht ausgeführt werden, und Sie müssen den Grund ermitteln, warum die automatische Registrierung nicht ausgeführt werden konnte. Mögliche Gründe:
-
Der Computer, auf dem der Online-Responder-Dienst ausgeführt wird, kann keine Verbindung mit einer Zertifizierungsstelle herstellen, die für das Ausstellen von Zertifikaten basierend auf der OCSP-Antwortsignaturvorlage konfiguriert wurde.
-
Der Online-Responder verfügt nicht über die Berechtigungen Lesen, Registrieren und Automatisch registrieren (falls die automatische Registrierung verwendet wird) für die OCSP-Antwortsignaturvorlage.
-
Der Computer, auf dem der Online-Responder-Dienst ausgeführt wird, kann keine Verbindung mit einer Zertifizierungsstelle herstellen, die für das Ausstellen von Zertifikaten basierend auf der OCSP-Antwortsignaturvorlage konfiguriert wurde.
Es konnte keine Sperrkonfiguration erstellt werden.
-
Ursache: Beim Versuch, eine Sperrkonfiguration zu erstellen, wurde folgende Fehlermeldung angezeigt: "Ungültiges Signaturzertifikat auf dem Arraycontroller."
-
Lösung: Überprüfen Sie, ob die OCSP Response-Signaturzertifikatvorlage richtig konfiguriert wurde. Konfigurieren Sie andernfalls die Zertifikatvorlage, um eine manuelle Registrierung dieser Signaturzertifikate zuzulassen.
Das Signaturzertifikat für die Online-Responder-Konfiguration läuft bald ab.
-
Ursache: Wenn die automatische Registrierung nicht verwendet wird, wird automatisch an die Erneuerung eines ablaufenden Zertifikats erinnert, sobald dessen verbleibende Gültigkeitsdauer einen konfigurierten Prozentsatz erreicht (standardmäßig liegt dieser Wert bei 10 Prozent der Gesamtgültigkeitsdauer). Sie können die für das aktuelle Signaturzertifikat verbleibende Zeit überprüfen, indem Sie mit dem Zertifikate-Snap-In das OCSP-Antwortsignaturzertifikat im persönlichen Zertifikatspeicher des Computers oder Online-Responder-Diensts überprüfen.
-
Lösung: Wenn die OCSP-Antwortsignaturzertifikatvorlage für eine automatische Registrierung und Erneuerung konfiguriert wurde, sind möglicherweise keine weiteren Maßnahmen erforderlich. Bei einer manuellen Konfiguration können Sie das Signaturzertifikat mit dem Zertifikate-Snap-In und dem Zertifikaterneuerungs-Assistenten erneuern.
Das Signaturzertifikat für die Sperrkonfiguration ist abgelaufen.
-
Ursache: Die automatische Erneuerung des Signaturzertifikats konnte nicht ausgeführt werden, oder die manuelle Erneuerung des Zertifikats wurde nicht vor Ablauf des Gültigkeitsdatums abgeschlossen.
-
Lösung: Bei Konfigurationen, in denen sich der Online-Responder-Dienst für sein Zertifikat registriert, kann die manuelle Registrierung nicht ausgeführt werden, und Sie müssen den Grund ermitteln, warum die automatische Registrierung nicht ausgeführt werden konnte. Mögliche Gründe:
-
Der Computer, auf dem der Online-Responder-Dienst ausgeführt wird, kann keine Verbindung mit einer Zertifizierungsstelle herstellen, die für das Ausstellen von Zertifikaten basierend auf der OCSP-Antwortsignaturvorlage konfiguriert wurde.
-
Der Online-Responder verfügt nicht über die Berechtigungen Lesen, Registrieren und Automatisch registrieren für die OCSP-Antwortsignaturvorlage.
Wenn die Sperrkonfiguration für die manuelle Registrierung des OCSP-Antwortsignaturzertifikats eingerichtet ist, suchen Sie das Signaturzertifikat innerhalb des persönlichen Zertifikatspeichers auf dem Computer des Online-Responders.
Bei einer manuellen Konfiguration können Sie das Signaturzertifikat mit dem Zertifikate-Snap-In und dem Zertifikaterneuerungs-Assistenten erneuern.
Möglicherweise konnte das OCSP-Antwortsignaturzertifikat nicht erneuert werden, da der Zertifizierungsstellenschlüssel, mit dem das ursprüngliche OCSP-Antwortsignaturzertifikat signiert wurde, erneuert wurde und nicht mehr verfügbar ist. Lassen Sie zu, dass das OCSP-Antwortsignaturzertifikat mit einem vorhandenen Schlüssel erneuert wird, um dieses Problem zu beheben. Weitere Informationen finden Sie unter Erneuern von OCSP-Antwortsignaturzertifikaten mit einem vorhandenen Schlüssel.
-
Der Computer, auf dem der Online-Responder-Dienst ausgeführt wird, kann keine Verbindung mit einer Zertifizierungsstelle herstellen, die für das Ausstellen von Zertifikaten basierend auf der OCSP-Antwortsignaturvorlage konfiguriert wurde.
Eine Online-Responder-Sperrkonfiguration kann nicht geladen werden.
-
Ursache: Die Sperrkonfiguration wurde beschädigt.
-
Lösung: Verwenden Sie das Online-Responder-Snap-In, um die Sperrkonfiguration zu löschen und neu zu erstellen. Wenn dieses Problem auf einem Arraymitglied aufgetreten ist, können Sie die beschädigte Konfiguration auf dem Arraymitglied löschen und dann das Array synchronisieren, um die Sperrkonfiguration neu zu erstellen. Wenn dieses Problem auf einem Arraycontroller auftritt, legen Sie vorübergehend einen anderen Computer als Arraycontroller fest, synchronisieren Sie das Array, und legen Sie dann den ursprünglichen Computer wieder als Arraycontroller fest.
Der Online-Responder-Dienst konnte für die angegebene Sperrkonfiguration keine Zertifikatsperrliste abrufen.
-
Ursache: Bei der Sperrlistenveröffentlichung sind Fehler aufgetreten, die Zertifikatsperrlisten-Verteilungspunkte sind ungültig, oder der Online-Responder-Dienst konnte nicht auf die veröffentlichte Zertifikatsperrliste zugreifen.
-
Lösung: So identifizieren und beheben Sie Probleme beim Abrufen von Zertifikatsperrlisten eines Online-Responders:
-
Überprüfen Sie mit dem Online-Responder-Snap-In, ob die für die Basis- und Delta-Zertifikatsperrlisten-Verteilungspunkte konfigurierten URLs gültig sind.
-
Überprüfen Sie mit dem Zertifizierungsstellen-Snap-In die URLs, für die die Zertifizierungsstelle Basis- und Deltasperrlisten veröffentlicht.
-
Überprüfen Sie auf dem Computer, auf dem die Basissperrliste veröffentlicht wird, die Erweiterung Aktuellste Sperrliste für die Basissperrliste. Überprüfen Sie, ob hier ein Speicherort angegeben ist, an dem die Deltasperrliste zu finden ist.
-
Veröffentlichen Sie gegebenenfalls die aktuelle Zertifikatsperrliste erneut, indem Sie den folgenden Befehl an der Eingabeaufforderung eingeben:
certutil -crl
-
Überprüfen Sie anschließend, ob der Online-Responder-Dienst auf die Zertifikatsperrliste zugreifen kann. Klicken Sie im Online-Responder-Snap-In mit der rechten Maustaste auf Arraykonfiguration. Klicken Sie anschließend auf Sperrungsdaten aktualisieren.
-
Überprüfen Sie mit dem Online-Responder-Snap-In, ob die für die Basis- und Delta-Zertifikatsperrlisten-Verteilungspunkte konfigurierten URLs gültig sind.