Ez a szakasz tartalmazza azt a néhány általános problémát, amelyekkel az Online válaszadó beépülő modullal, illetve az online válaszadó-tömbökkel végzett munka közben találkozhat. Az online válaszadókkal kapcsolatos problémák elhárításáról és megoldásáról az Active Directory tanúsítványszolgáltatások hibaelhárítási útmutatójában talál további információkat (
Milyen probléma merült fel?
-
Az online válaszadó szolgáltatás nem indult el.
-
Az online válaszadóhoz tartozó aláíró tanúsítvány nem található.
-
Egy visszavonási konfiguráció létrehozása nem sikerült.
-
Az online válaszadó konfigurációjához tartozó aláíró tanúsítvány hamarosan le fog járni.
-
A visszavonási konfigurációhoz tartozó aláíró tanúsítvány lejárt.
-
Egy online válaszadóhoz tartozó visszavonási konfigurációt nem lehet betölteni.
-
Az online válaszadó szolgáltatás a megadott visszavonási konfigurációhoz nem találta meg a hozzá tartozó visszavont tanúsítványok listáját.
Az online válaszadó szolgáltatás nem indult el.
-
Ok: Az online válaszadó szolgáltatás elindulásának meghiúsulását a beállításjegyzékben tárolt információk sérülése vagy az elégtelen rendszererőforrások okozhatják.
-
Megoldás: Próbálja meg újraindítani az online válaszadó szolgáltatást a Szolgáltatások beépülő modulból (Services.msc). Ha az online válaszadó szolgáltatás nem indul el, ellenőrizze az eseménynaplót, hogy a talált hibán kívül nincsenek-e benne más kapcsolódó hibák is. Ha nem áll rendelkezésre elegendő rendszererőforrás az online válaszadó szolgáltatás indításához, indítsa újra a számítógépet, vagy szabadítson föl rendszererőforrásokat. Ha a beállításjegyzék-információk megsérültek, a Kiszolgálókezelő segítségével távolítsa el, majd telepítse újra az online válaszadó szolgáltatást.
Az online válaszadóhoz tartozó aláíró tanúsítvány nem található.
-
Ok: Az OCSP-válaszaláíró tanúsítvány nem található a számítógépes fiók személyes tanúsítványtárolójában, vagy ha az aláíró tanúsítványt automatikus igénylés útján kellett volna kibocsátani, az automatikus igénylés nem fejeződött be.
-
Megoldás: Ha az OCSP-válaszaláíró tanúsítvány nem található a helyi számítógép személyes tanúsítványtárában, és a visszavonás manuális OCSP-válaszaláíró tanúsítványigénylésre vagy automatikus felderítésre van beállítva, a tanúsítványt manuálisan kell igényelnie. Azoknál a konfigurációknál, amelyeknél az online válaszadó szolgáltatás igényel tanúsítványt, a manuális igénylés nem fog működni, és meg kell határozni, hogy miért nem nem működött az automatikus igénylés. Az okok a következők lehetnek:
-
Az online válaszadó szolgáltatást futtató számítógép nem tud csatlakozni a tanúsítványok OCSP-válaszaláíró sablonok alapján történő kiadására beállított hitelesítésszolgáltatóhoz.
-
Az online válaszadó nem rendelkezik olvasási, igénylési, és, amennyiben automatikus igénylést használ, automatikus igénylési engedéllyel az OCSP-válaszaláíró sablonhoz.
-
Az online válaszadó szolgáltatást futtató számítógép nem tud csatlakozni a tanúsítványok OCSP-válaszaláíró sablonok alapján történő kiadására beállított hitelesítésszolgáltatóhoz.
Egy visszavonási konfiguráció létrehozása nem sikerült.
-
Ok: Az egyik visszavonási konfiguráció létrehozása nem sikerült, és a „Hibás aláíró tanúsítvány a tömbvezérlőn” hibaüzenet jelent meg.
-
Megoldás: Ellenőrizze, hogy az OCSP-válaszaláíró tanúsítványsablon konfigurációja megfelelően történt-e. A másik megoldás az, hogy a tanúsítványsablont oly módon állítja be, hogy lehetővé tegye az aláíró tanúsítványok manuális igénylését.
Az online válaszadó konfigurációjához tartozó aláíró tanúsítvány hamarosan le fog járni.
-
Ok: Ha nem automatikus igénylést használ, a tanúsítvány élettartama megadott százalékának lejártakor (alapértelmezés szerint ez a teljes érvényességi periódus 10 százaléka) automatikusan megjelenik a lejárófélben lévő tanúsítvány megújítására felszólító emlékeztető. Az aktuális aláíró tanúsítvány hátralévő idejét a Tanúsítványok beépülő modul a számítógép személyes tanúsítványtárában vagy az Online Válaszadási szolgáltatásban található OCSP-válaszaláíró igazolások vizsgálatára szolgáló beépülő moduljával ellenőrizheti.
-
Megoldás: Ha az OCSP-válaszaláíró tanúsítványsablonon automatikus igénylés és megújítás van beállítva, nincs további teendője. Manuális konfigurációk esetén az aláíró tanúsítványt a Tanúsítványok beépülő modullal és a Tanúsítványmegújító varázslóval újíthatja meg.
A visszavonási konfigurációhoz tartozó aláíró tanúsítvány lejárt.
-
Ok: Az aláíró tanúsítvány automatikus megújítása nem sikerült, vagy a tanúsítvány manuális megújítása a tanúsítvány lejárását megelőzően nem történt meg.
-
Megoldás: Azoknál a konfigurációknál, amelyeknél az online válaszadó szolgáltatás igényel tanúsítványt, a manuális igénylés nem fog működni, és meg kell határozni, hogy miért nem nem működött az automatikus igénylés. Az okok a következők lehetnek:
-
Az online válaszadó szolgáltatást futtató számítógép nem tud csatlakozni a tanúsítványok OCSP-válaszaláíró sablonok alapján történő kiadására beállított hitelesítésszolgátatóhoz.
-
Az online válaszadó nem rendelkezik olvasási, igénylési, és az automatikus igénylési engedéllyel az OCSP-válaszaláíró sablonhoz.
Ha a visszavonási konfiguráció az OCSP-válaszaláíró tanúsítvány manuális igénylésére van beállítva, keresse meg az aláíró tanúsítványt az online válaszadó szolgáltatást futtató számítógép helyi személyes tanúsítványtárában.
Manuális konfigurációk esetén az aláíró tanúsítványt a Tanúsítványok beépülő modullal és a Tanúsítványmegújító varázslóval újíthatja meg.
Elképzelhető az is, hogy az OCSP-válaszaláíró tanúsítványt nem lehet megújítani, mert az eredeti OCSP-válaszaláíró tanúsítvány aláírására használt hitelesítésszolgáltatói kulcsot megújították, és az már nem elérhető. A probléma megoldásához engedélyeznie kell az OCSP-válaszaláíró tanúsítvány a jelenlegi kulccsal való megújítását. További információt az OCSP-válaszaláíró tanúsítványok megújítása létező kulccsal témakörben találhat.
-
Az online válaszadó szolgáltatást futtató számítógép nem tud csatlakozni a tanúsítványok OCSP-válaszaláíró sablonok alapján történő kiadására beállított hitelesítésszolgátatóhoz.
Egy online válaszadóhoz tartozó visszavonási konfigurációt nem lehet betölteni.
-
Ok: A visszavonási konfiguráció megsérült.
-
Megoldás: Az online válaszadó beépülő modulja segítségével törölje, majd hozza ismét létre a visszavonási konfigurációt. Ha a probléma egy tömb egyik tagján fordult elő, törölje a sérült konfigurációt a tömb érintett tagjából, majd a visszavonási konfiguráció ismételt létrehozásához szinkronizálja a tömböt. Ha a problémával egy tömbvezérlőnél, vagy egy ideiglenesen tömbvezérlőnek beállított másik számítógépnél találkozik, szinkronizálja a tömböt, majd állítsa be az eredeti számítógépet úgy, hogy az legyen a tömbvezérlő.
Az online válaszadó szolgáltatás a megadott visszavonási konfigurációhoz nem találta meg a hozzá tartozó visszavont tanúsítványok listáját.
-
Ok: A visszavont tanúsítványok listájának közzététele nem sikerült, a visszavont tanúsítványok listáinak elérési helyei érvénytelenek, vagy az online válaszadó szolgáltatás nem tudja elérni a közzétett visszavont tanúsítványok listáját.
-
Megoldás: A visszavont tanúsítványok listáival kapcsolatos elérési problémák meghatározása és megcímzése az online válaszadó számára:
-
Az online válaszadó beépülő modul segítségével ellenőrizze, hogy a kiinduló visszavonási és a különbözeti listák elérési pontjai érvényesek-e.
-
A Hitelesítésszolgáltató beépülő modul segítségével ellenőrizze, hogy a kiinduló visszavonási és a különbözeti listák közzétételére szolgáló URL-címek működnek-e.
-
Azon a számítógépen, amelyen a visszavont tanúsítványok alapvető listája közzé van téve, a lista megtekintéséhez válassza a Legfrissebb visszavonási lista bővítményt. Ellenőrizze, hogy ez a visszavont tanúsítványok különbözeti listáját tartalmazó helyre mutat-e.
-
Az aktuális visszavont tanúsítványok listája szükség esetén történő újra közzétételéhez adja meg a következő parancsot a parancssorban:
certutil -crl
-
Ezután ellenőrizze, hogy az online válaszadó szolgáltatás el tudja-e érni a visszavont tanúsítványok listáját. Az online válaszadó beépülő modulban kattintson a jobb gombbal a Tömbkonfiguráció elemre, majd kattintson a Visszavonási adatok frissítése elemre.
-
Az online válaszadó beépülő modul segítségével ellenőrizze, hogy a kiinduló visszavonási és a különbözeti listák elérési pontjai érvényesek-e.