ここでは、オンライン レスポンダー スナップインの使用時、またはオンライン レスポンダー配列の操作時に発生する可能性のある一般的な問題のいくつかを紹介します。オンライン レスポンダーに関する問題のトラブルシューティングと解決方法の詳細については、Active Directory 証明書サービスのトラブルシューティングに関するページ (英語の可能性あり) (
どのような問題がありますか?
オンライン レスポンダー サービスが開始されない
-
原因: レジストリ情報が破損していたり、システム リーソースが不足していると、オンライン レスポンダー サービスを開始できない場合があります。
-
解決方法: サービス スナップイン (Services.msc) からオンライン レスポンダー サービスを再起動してみてください。それでもオンライン レスポンダー サービスが開始しない場合は、イベント ログでこの障害に関係する他のエラーが発生していないかどうか確認してください。オンライン レスポンダー サービスを開始するために十分なシステム リソースがない場合は、コンピューターを再起動するか、システム リソースを解放してください。レジストリ情報が破損している場合は、サーバー マネージャーを使用してオンライン レスポンダー サービスをアンインストールしてから再インストールしてください。
オンライン レスポンダーの署名証明書が見つからない
-
原因: OCSP 応答の署名証明書がコンピューター アカウントの個人証明書ストアにないか、または、署名証明書が自動登録により発行されている場合は自動登録が完了していません。
-
解決方法: OCSP 応答の署名証明書がローカル コンピューターの個人証明書ストアになく、失効構成で OCSP 応答の署名証明書の手動登録または自動検出が指定されている場合は、証明書を手動で登録する必要があります。オンライン レスポンダー サービスが証明書を登録する構成になっている場合は、手動登録は機能しません。自動登録が機能しなかった理由を特定する必要があります。次の理由が考えられます。
-
オンライン レスポンダー サービスが動作しているコンピューターが、OCSP 応答の署名テンプレートに基づいて証明書を発行するように構成された証明機関 (CA) に接続できません。
-
オンライン レスポンダーに、OCSP 応答の署名テンプレートに対する読み取り、登録、自動登録 (自動登録が使用されている場合) のアクセス許可が割り当てられていません。
-
オンライン レスポンダー サービスが動作しているコンピューターが、OCSP 応答の署名テンプレートに基づいて証明書を発行するように構成された証明機関 (CA) に接続できません。
失効構成を作成できない
-
原因: "配列コントローラーに無効な署名証明書があります" というメッセージが表示され、失効構成を作成できませんでした。
-
解決方法: OCSP 応答の署名証明書テンプレートが正しく構成されていることを確認してください。構成が正しくない場合は、これらの署名証明書の手動登録を許可するように証明書テンプレートを構成してください。
オンライン レスポンダー構成の署名証明書の有効期限が間もなく切れる
-
原因: 自動登録が使用されていない場合は、証明書の残存期間が有効期間に対する所定の割合 (既定では 10%) になった時点で、有効期限切れ間近の証明書の更新を促す通知メッセージが自動的に生成されます。現在の署名証明書の残存期間を確認するには、証明書スナップインを使用して、コンピューターまたはオンライン レスポンダー サービスの個人証明書ストア内の OCSP 応答の署名証明書を調べます。
-
解決方法: OCSP 応答の署名証明書テンプレートで自動登録と自動更新が構成されている場合は、特に処置は必要ありません。手動構成の場合は、証明書スナップインと証明書の書き換えウィザードを使用して署名証明書を更新することができます。
失効構成の署名証明書の有効期限が切れた
-
原因: 有効期限までに署名証明書の自動更新に失敗したか、証明書の手動更新が完了しませんでした。
-
解決方法: オンライン レスポンダー サービスが証明書を登録する構成になっている場合は、手動登録は機能しません。自動登録が機能しなかった理由を特定する必要があります。次の理由が考えられます。
-
オンライン レスポンダー サービスが動作しているコンピューターが、OCSP 応答の署名テンプレートに基づいて証明書を発行するように構成された CA に接続できません。
-
オンライン レスポンダーに、OCSP 応答の署名テンプレートに対する読み取り、登録、自動登録のアクセス許可が割り当てられていません。
失効構成で OCSP 応答の署名証明書の手動登録が設定されている場合は、オンライン レスポンダー コンピューターの個人証明書ストアから署名証明書を探します。
手動構成の場合は、証明書スナップインと証明書の書き換えウィザードを使用して署名証明書を更新することができます。
また、元の OCSP 応答の署名証明書に署名するために使用した CA キーが更新され、使用できなくなっていることが原因で、OCSP 応答の署名証明書を更新できなかった可能性もあります。この問題に対処するには、既存のキーを使用して OCSP 応答の署名証明書を更新できるようにする必要があります。詳細については、「既存のキーを使用して OCSP 応答の署名証明書を更新する」を参照してください。
-
オンライン レスポンダー サービスが動作しているコンピューターが、OCSP 応答の署名テンプレートに基づいて証明書を発行するように構成された CA に接続できません。
オンライン レスポンダーの失効構成が見つからない
-
原因: 失効構成が破損しています。
-
解決方法: オンライン レスポンダー スナップインを使用して、失効構成を削除してから作成し直します。この問題が配列メンバーで発生した場合は、配列メンバーから壊れた構成を削除し、配列を同期して、失効構成を作成し直すことができます。この問題が配列コントローラーで発生した場合は、一時的に別のコンピューターを配列コントローラーに設定し、配列を同期し、元のコンピューターを配列コントローラーに再設定します。
指定された失効構成の CRL をオンライン レスポンダー サービスが取得できない
-
原因: 証明書失効リスト (CRL) の発行に失敗したか、CRL 配布ポイントが無効であるか、またはオンライン レスポンダー サービスが発行済みの CRL にアクセスできませんでした。
-
解決方法: オンライン レスポンダーで CRL を取得できない問題を特定して対処するには、次の操作を行います。
-
オンライン レスポンダー スナップインを使用して、Base CRL と Delta CRL の配布ポイントに対して構成されている URL が正しいことを確認します。
-
証明機関スナップインを使用して、CA が Base CRL と Delta CRL を発行する URL を確認します。
-
Base CRL の発行先のコンピューターで、Base CRL の [最新の CRL] 拡張を調べます。Delta CRL が見つかる場所が指定されていることを確認します。
-
必要に応じて、現在の CRL を再発行するために、コマンド プロンプトでコマンド「
certutil -crl」を入力します。
-
その後、オンライン レスポンダー サービスが CRL にアクセスできることを確認します。オンライン レスポンダー スナップインから、[配列構成] を右クリックし、[失効データを最新の状態に更新] をクリックします。
-
オンライン レスポンダー スナップインを使用して、Base CRL と Delta CRL の配布ポイントに対して構成されている URL が正しいことを確認します。