In questa sezione vengono elencati alcuni problemi comuni che possono verificarsi quando si utilizzano lo snap-in Risponditore in linea o gli array di risponditori online. Per ulteriori informazioni su come risolvere i problemi relativi ai risponditori online, vedere la pagina sulla risoluzione dei problemi relativi a Servizi certificati Active Directory all'indirizzo
Problema riscontrato
-
Il servizio Risponditore in linea non è stato avviato
-
Non è possibile individuare il certificato di firma del risponditore online
-
Un tentativo di creare una configurazione di revoca ha avuto esito negativo
-
Il certificato di firma per la configurazione del risponditore online scadrà a breve
-
Il certificato di firma per la configurazione di revoca scadrà a breve
-
Non è possibile caricare la configurazione di revoca di un risponditore online
-
Il servizio Risponditore in linea non è un grado di recuperare un elenco di revoche di certificati (CRL) per la configurazione di revoca specificata
Il servizio Risponditore in linea non è stato avviato.
-
Causa: l'avvio del servizio Risponditore in linea può avere esito negativo a causa di informazioni danneggiate nel Registro di sistema oppure di risorse di sistema insufficienti.
-
Soluzione: provare a riavviare il servizio Risponditore in linea dallo snap-in Servizi (services.msc). Se l'avvio del servizio Risponditore in linea non riesce, cercare nel registro eventi eventuali errori che potrebbero essere correlati al problema. Se non sono disponibili risorse di sistema sufficienti per l'avvio del servizio Risponditore in linea, provare a riavviare il computer oppure a liberare risorse di sistema. Se le informazioni del Registro di sistema sono danneggiate, è necessario utilizzare Server Manager per disinstallare e reinstallare il servizio Risponditore in linea.
Non è possibile individuare il certificato di firma del risponditore online.
-
Causa: il certificato Firma risposta OCSP non è presente nell'archivio certificati personali per l'account computer oppure, se il certificato di firma avrebbe dovuto essere rilasciato mediante la registrazione automatica, quest'ultima non è stata completata.
-
Soluzione: se nell'archivio certificati personali per il computer locale non è presente un certificato Firma risposta OCSP e la revoca è configurata per la registrazione manuale del certificato Firma risposta OCSP oppure per l'individuazione automatica, è necessario effettuare manualmente la registrazione per un certificato. Per le configurazioni in cui il servizio Risponditore in linea effettua la registrazione per il proprio certificato, la registrazione manuale non funziona ed è necessario identificare il motivo a causa del quale la registrazione automatica non è stata completata. Di seguito sono illustrati alcuni dei motivi possibili:
-
Il computer nel quale è in esecuzione il servizio Risponditore in linea non è grado di connettersi all'Autorità di certificazione (CA) configurata per il rilascio di certificati basati sul modello Firma risposta OCSP.
-
Il risponditore online non dispone delle autorizzazioni di lettura, registrazione e registrazione automatica (se quest'ultima viene utilizzata) per il modello Firma risposta OCSP.
-
Il computer nel quale è in esecuzione il servizio Risponditore in linea non è grado di connettersi all'Autorità di certificazione (CA) configurata per il rilascio di certificati basati sul modello Firma risposta OCSP.
Un tentativo di creare una configurazione di revoca ha avuto esito negativo.
-
Causa: un tentativo di creare una configurazione di revoca ha avuto esito negativo con il messaggio "Certificato di firma non valido nel controller dell'array".
-
Soluzione: verificare che il modello di certificato Firma risposta OCSP sia stato configurato correttamente. In caso contrario, configurare il modello di certificato in modo da consentire la registrazione manuale per questi certificati di firma.
Il certificato di firma per la configurazione del risponditore online scadrà a breve.
-
Causa: se non si utilizza la registrazione automatica, viene automaticamente generato un promemoria relativo al rinnovo dei certificati in scadenza la cui durata residua ha raggiunto una percentuale configurata, la quale, per impostazione predefinita, corrisponde al 10% del periodo di validità complessivo. È possibile verificare il tempo rimanente del certificato di firma corrente utilizzando lo snap-in Certificati per esaminare il certificato Firma risposta OCSP nell'archivio certificati personali del computer oppure il servizio Risponditore in linea.
-
Soluzione: se il modello di certificato Firma risposta OCSP è stato configurato per la registrazione e il rinnovo automatici, potrebbero non essere necessarie ulteriori azioni. Per le configurazioni manuali, è possibile rinnovare il certificato di firma mediante lo snap-in Certificati e il Rinnovo guidato certificati.
Il certificato di firma per la configurazione di revoca scadrà a breve.
-
Causa: il rinnovo automatico del certificato di firma ha avuto esito negativo oppure il rinnovo manuale del certificato non è stato completato prima della data di scadenza.
-
Soluzione: per le configurazioni in cui il servizio Risponditore in linea effettua la registrazione per il proprio certificato, la registrazione manuale non funziona ed è necessario identificare il motivo a causa del quale la registrazione automatica non è stata completata. Di seguito sono illustrati alcuni dei motivi possibili:
-
Il computer nel quale è in esecuzione il servizio Risponditore in linea non è grado di connettersi alla CA configurata per il rilascio di certificati basati sul modello Firma risposta OCSP.
-
Il risponditore online non dispone delle autorizzazioni di lettura, registrazione e registrazione automatica per il modello Firma risposta OCSP.
Se la configurazione di revoca è impostata per la registrazione manuale del certificato Firma risposta OCSP, individuare il certificato di firma nell'archivio certificati personali del computer locale del risponditore online.
Per le configurazioni manuali, è possibile rinnovare il certificato di firma mediante lo snap-in Certificati e il Rinnovo guidato certificati.
È inoltre possibile che il certificato Firma risposta OCSP non possa essere rinnovato poiché la chiave CA utilizzata per firmare il certificato Firma risposta OCSP originale è stata rinnovata e non è più disponibile. Per superare questo problema, è necessario consentire il rinnovo del certificato Firma risposta OCSP con una chiave esistente. Per ulteriori informazioni, vedere Rinnovare i certificati Firma risposta OCSP con una chiave esistente.
-
Il computer nel quale è in esecuzione il servizio Risponditore in linea non è grado di connettersi alla CA configurata per il rilascio di certificati basati sul modello Firma risposta OCSP.
Non è possibile caricare la configurazione di revoca di un risponditore online.
-
Causa: la configurazione di revoca è danneggiata.
-
Soluzione: utilizzare lo snap-in Risponditore in linea per eliminare e creare nuovamente la configurazione di revoca. Se il problema si è verificato in un membro dell'array, è possibile eliminare la configurazione danneggiata dal membro e quindi sincronizzare l'array per creare nuovamente la configurazione di revoca. Se il problema si verifica in un controller dell'array, impostare temporaneamente un altro computer come controller dell'array, sincronizzare l'array e quindi reimpostare il computer originale come controller dell'array.
Il servizio Risponditore in linea non è in grado di recuperare un elenco di revoche di certificati (CRL) per la configurazione di revoca specificata.
-
Causa: la pubblicazione dell'elenco di revoche di certificati (CRL) ha avuto esito negativo, i punti di distribuzione CRL non sono validi oppure il servizio Risponditore in linea non è in grado di accedere al CRL pubblicato.
-
Soluzione: per identificare e risolvere i problemi di recupero dell'elenco di revoche di certificati per un risponditore online:
-
Utilizzare lo snap-in Risponditore in linea per verificare che gli URL configurati per i punti di distribuzione Delta CRL e Base CRL siano validi.
-
Utilizzare lo snap-in Autorità di certificazione per verificare gli URL in cui la CA pubblica i Base CRL e Delta CRL.
-
Nel computer in cui è pubblicato il Base CRL esaminare l'estensione CRL più aggiornato per individuare il Base CRL. Verificare che quest'ultimo identifichi un percorso in cui è possibile trovare il Delta CRL.
-
Ripubblicare il CRL corrente, se necessario, digitando il comando seguente al prompt dei comandi:
certutil -crl
-
Verificare quindi che il servizio Risponditore in linea sia in grado di accedere al CRL. Nello snap-in Risponditore in linea fare clic con il pulsante destro del mouse su Configurazione array e scegliere Aggiorna dati di revoca.
-
Utilizzare lo snap-in Risponditore in linea per verificare che gli URL configurati per i punti di distribuzione Delta CRL e Base CRL siano validi.