In deze sectie wordt een aantal veelvoorkomende problemen besproken die kunnen optreden wanneer u de module Onlineresponder gebruikt of met matrices van onlineresponders werkt. Raadpleeg het onderwerp over probleemoplossing voor onlineresponders (
Wat is er aan de hand?
-
Kan de onlineresponderservice niet starten
-
Kan het handtekeningcertificaat van de onlineresponder niet vinden
-
Kan geen intrekkingsconfiguratie maken
-
Het handtekeningcertificaat voor de onlineresponderconfiguratie verloopt binnenkort
-
Het handtekeningcertificaat voor de intrekkingsconfiguratie is verlopen
-
Kan een intrekkingsconfiguratie van een onlineresponder niet laden
-
De onlineresponderservice kan geen CRL ophalen voor de opgegeven intrekkingsconfiguratie
Kan de onlineresponderservice niet starten.
-
Oorzaak: Mogelijk kan de onlineresponderservice niet worden gestart vanwege beschadigde registergegevens of een tekort aan systeembronnen.
-
Oplossing: Probeer de onlineresponderservice opnieuw te starten vanuit de module Services (Services.msc). Als de onlineresponderservice niet kan worden gestart, controleert u het gebeurtenislogboek op andere fouten die mogelijk te maken hebben met deze fout. Als er onvoldoende systeembronnen beschikbaar zijn om de onlineresponderservice te starten, probeert u de computer opnieuw te starten of maakt u systeembronnen vrij. Als de registergegevens beschadigd zijn, moet u Serverbeheer gebruiken om de onlineresponderservice te verwijderen en opnieuw te installeren.
Kan het handtekeningcertificaat van de onlineresponder niet vinden.
-
Oorzaak: Het certificaat OCSP-antwoord ondertekenen is niet aanwezig in het persoonlijke certificaatarchief voor het computeraccount of, als het handtekeningcertificaat had moeten worden uitgegeven via automatische inschrijving, de automatische inschrijving is niet voltooid.
-
Oplossing: Als een certificaat OCSP-antwoord ondertekenen niet aanwezig is in het persoonlijke certificaatarchief voor de lokale computer en de intrekking is geconfigureerd voor handmatige inschrijving of automatische ontdekking van certificaten OCSP-antwoord ondertekenen, moet u certificaten handmatig inschrijven. Voor configuraties waarbij de onlineresponderservice zich inschrijft voor certificaten werkt handmatige inschrijving niet en moet u de reden opgeven waarom de automatische inschrijving niet werkte. Dit kan de volgende oorzaken hebben:
-
De computer waarop de onlineresponderservice wordt uitgevoerd, kan geen verbinding maken met een certificeringsinstantie (CA) die is geconfigureerd voor het uitgeven van certificaten op basis van de sjabloon OCSP-antwoord ondertekenen.
-
De onlineresponder heeft geen machtigingen voor lezen, inschrijven en, als automatische inschrijving wordt gebruikt, automatisch inschrijven voor de sjabloon OCSP-antwoord ondertekenen.
-
De computer waarop de onlineresponderservice wordt uitgevoerd, kan geen verbinding maken met een certificeringsinstantie (CA) die is geconfigureerd voor het uitgeven van certificaten op basis van de sjabloon OCSP-antwoord ondertekenen.
Kan geen intrekkingsconfiguratie maken.
-
Oorzaak: Een poging om een intrekkingsconfiguratie te maken is mislukt en het bericht 'Ongeldig handtekeningcertificaat op matrixcontroller' wordt weergegeven.
-
Oplossing: Controleer of de certificaatsjabloon OCSP-antwoord ondertekenen juist is geconfigureerd. Of configureer de certificaatsjabloon zodanig dat handmatige inschrijving voor deze handtekeningcertificaten is toegestaan.
Het handtekeningcertificaat voor de onlineresponderconfiguratie verloopt binnenkort.
-
Oorzaak: Wanneer automatische inschrijving niet wordt gebruikt, wordt er automatisch een herinnering gegenereerd dat een certificaat dat bijna verloopt moet worden vernieuwd wanneer voor een certificaat nog een geconfigureerd percentage van de levensduur resteert (standaard is dit 10 procent van de totale geldigheidsduur). U kunt controleren hoeveel tijd er nog resteert voor het huidige handtekeningcertificaat door de module Certificaten te gebruiken om het certificaat OCSP-antwoord ondertekenen weer te geven in het persoonlijke certificaatarchief van de computer of in de onlineresponderservice.
-
Oplossing: Als de certificaatsjabloon OCSP-antwoord ondertekenen is geconfigureerd voor automatische inschrijving en vernieuwing, hoeft u mogelijk verder geen actie te ondernemen. Voor handmatige configuraties kunt u het handtekeningcertificaat vernieuwen met behulp van de module Certificaten en de wizard Certificaat vernieuwen.
Het handtekeningcertificaat voor de intrekkingsconfiguratie is verlopen.
-
Oorzaak: De automatische vernieuwing van het handtekeningcertificaat is mislukt of de handmatige certificaatvernieuwing is niet voltooid vóór de vervaldatum.
-
Oplossing: Voor configuraties waarbij de onlineresponderservice zich inschrijft voor certificaten werkt handmatige inschrijving niet en moet u de reden opgeven waarom de automatische inschrijving niet werkte. Dit kan de volgende oorzaken hebben:
-
De computer waarop de onlineresponderservice wordt uitgevoerd, kan geen verbinding maken met een certificeringsinstantie (CA) die is geconfigureerd voor het uitgeven van certificaten op basis van de sjabloon OCSP-antwoord ondertekenen.
-
De onlineresponder heeft geen machtigingen voor lezen, inschrijven en automatisch inschrijven voor de sjabloon OCSP-antwoord ondertekenen.
Als de intrekkingsconfiguratie is ingesteld voor handmatige inschrijving van het certificaat OCSP-antwoord ondertekenen, zoekt u het handtekeningcertificaat in het persoonlijke certificaatarchief voor lokale computers van de onlinerespondercomputer.
Voor handmatige configuraties kunt u het handtekeningcertificaat vernieuwen met behulp van de module Certificaten en de wizard Certificaat vernieuwen.
Het is ook mogelijk dat het certificaat OCSP-antwoord ondertekenen niet kan worden vernieuwd omdat de certificeringsinstantiesleutel die is gebruikt om het originele certificaat OCSP-antwoord ondertekenen te ondertekenen is vernieuwd en niet meer beschikbaar is. Als u dit probleem wilt verhelpen, moet u toestaan dat het certificaat OCSP-antwoord ondertekenen wordt vernieuwd met een bestaande sleutel. Zie Certificaten OCSP-antwoord ondertekenen vernieuwen met een bestaande sleutel voor meer informatie.
-
De computer waarop de onlineresponderservice wordt uitgevoerd, kan geen verbinding maken met een certificeringsinstantie (CA) die is geconfigureerd voor het uitgeven van certificaten op basis van de sjabloon OCSP-antwoord ondertekenen.
Kan een intrekkingsconfiguratie van een onlineresponder niet laden.
-
Oorzaak: De intrekkingsconfiguratie is beschadigd.
-
Oplossing: Gebruik de module Onlineresponder om de intrekkingsconfiguratie te verwijderen en opnieuw te maken. Als dit probleem is opgetreden op een matrixlid, kunt u de beschadigde configuratie verwijderen uit het matrixlid en de matrix vervolgens synchroniseren om de intrekkingsconfiguratie opnieuw te maken. Als dit probleem zich voordoet op een matrixcontroller, stelt u tijdelijk een andere computer in als de matrixcontroller, synchroniseert u de matrix en stelt u de oorspronkelijke computer vervolgens weer in als de matrixcontroller.
De onlineresponderservice kan geen CRL ophalen voor de opgegeven intrekkingsconfiguratie.
-
Oorzaak: De publicatie van de CRL (Certificate Revocation List, certificaatintrekkingslijst) is mislukt, de CRL-distributiepunten zijn ongeldig of de onlineresponderservice kan geen toegang krijgen tot de gepubliceerde CRL.
-
Oplossing: Problemen met het ophalen van CRL's identificeren en oplossen voor een onlineresponder:
-
Gebruik de module Onlineresponder om te controleren of de URL's die zijn geconfigureerd voor basis- en delta-CRL-distributiepunten geldig zijn.
-
Gebruik de module Certificeringsinstantie om de URL's te controleren waarnaar de certificeringsinstantie basis- en delta-CRL's publiceert.
-
Op de computer waarop de basis-CRL wordt gepubliceerd, zoekt u in de uitbreiding Meest recente CRL de basis-CRL. Controleer of dit een locatie is waar u de delta-CRL kunt vinden.
-
Publiceer de huidige CRL indien nodig opnieuw door de volgende opdracht te typen na een opdrachtprompt:
certutil -crl
-
Controleer vervolgens of de onlineresponderservice toegang kan krijgen tot de CRL. Klik vanuit de module Onlineresponder met de rechtermuisknop op Matrixconfiguratie en klik op Intrekkingsgegevens vernieuwen.
-
Gebruik de module Onlineresponder om te controleren of de URL's die zijn geconfigureerd voor basis- en delta-CRL-distributiepunten geldig zijn.