Esta seção lista alguns problemas comuns que você pode encontrar ao usar o snap-in Respondentes Online ou ao trabalhar com Matrizes de Respondentes Online. Para obter mais informações sobre solução de problemas com Respondentes Online, consulte Solução de problemas dos Serviços de Certificados do Active Directory (
Qual é o seu problema?
-
O serviço Respondente Online não iniciou
-
Não foi possível localizar o certificado de autenticação do Respondente Online
-
Uma tentativa de criar uma configuração de revogação falhou
-
O certificado de autenticação da configuração do Respondente Online vai expirar em breve
-
O certificado de autenticação da configuração da revogação expirou
-
Não é possível carregar a configuração de revogação de um Respondente Online
-
O serviço Respondente Online não conseguiu recuperar uma CRL para a configuração de revogação especificada
O serviço Respondente Online não iniciou.
-
Causa: o serviço Respondente Online pode falhar ao iniciar por causa de informações do Registro corrompidas ou de recursos de sistema insuficientes.
-
Solução: tente reiniciar o Serviço Respondente Online no snap-in Serviços (Services.msc). Se o Serviço Respondente Online falhar ao iniciar, verifique no log de eventos a existência de outros erros que podem estar relacionados a essa falha. Se não houver recursos de sistema suficientes disponíveis para iniciar o Serviço Respondente Online, tente reiniciar o computador ou libere recursos do sistema. Se as informações do Registro estiverem corrompidas, você deverá usar o Gerenciador de Servidores para desinstalar e reinstalar o Serviço Respondente Online.
Não foi possível localizar o certificado de autenticação do Respondente Online.
-
Causa: o certificado de autenticação de resposta OCSP não está presente no repositório de certificados Pessoal da conta do computador ou a inscrição automática não foi concluído, no caso de ser necessário que o certificado de autenticação fosse emitido usando inscrição automática, .
-
Solução: se um certificado de autenticação de resposta OCSP não estiver presente no repositório de certificados Pessoal do computador local e a revogação estiver configurada para inscrição manual de certificado de autenticação de resposta OCSP ou detecção automática, você deve registrar-se para um certificado manualmente. Para configurações nas quais o Serviço Respondente Online se inscreve para seus certificados, a inscrição manual não funcionará e você vai precisar identificar o motivo pelo qual a inscrição automática não funcionou. As possíveis razões incluem:
-
O computador no qual o Serviço Respondente Online está em execução não pode conectar-se a uma autoridade de certificação que foi configurada para emitir certificados com base no modelo de Autenticação de Resposta OCSP.
-
O Respondente Online não tem permissões de Leitura, Inscrição e, se a inscrição automática estiver sendo usada, Inscrição Automática no modelo de Autenticação de Resposta OCSP.
-
O computador no qual o Serviço Respondente Online está em execução não pode conectar-se a uma autoridade de certificação que foi configurada para emitir certificados com base no modelo de Autenticação de Resposta OCSP.
Uma tentativa de criar uma configuração de revogação falhou.
-
Causa: uma tentativa de criar uma configuração de revogação falhou com a mensagem "Certificado de autenticação incorreto no controlador da Matriz".
-
Solução: verifique se o modelo de certificado de Autenticação de Resposta OCSP foi configurado corretamente. Caso contrário, configure o modelo de certificado para permitir inscrição manual nesses certificados de autenticação.
O certificado de autenticação da configuração do Respondente Online vai expirar em breve.
-
Causa: quando a inscrição automática não está sendo usada, um lembrete para renovar um certificado que está expirando é gerado automaticamente quando resta a um certificado um determinado percentual configurado de seu tempo de vida (por padrão, 10% de seu período total de validade). Você pode verificar o tempo restante no certificado de autenticação atual usando o snap-in de Certificados para examinar o certificado de autenticação de resposta OCSP no repositório de certificados Pessoal do computador ou no Serviço Respondente Online.
-
Solução: se o modelo de certificado de autenticação de resposta OCSP tiver sido configurado para inscrição e renovação automática, não será necessário realizar outras ações. Para configurações manuais, você pode renovar o certificado de autenticação usando o snap-in de certificados e o Assistente para Renovação de Certificados.
O certificado de autenticação da configuração da revogação expirou.
-
Causa: a renovação automática do certificado de autenticação falhou ou a renovação manual do certificado não foi concluída antes da data de expiração.
-
Solução: Para configurações nas quais o Serviço Respondente Online se inscreve para seus certificados, a inscrição manual não funcionará e você vai precisar identificar o motivo pelo qual a inscrição automática não funcionou. As possíveis razões incluem:
-
O computador no qual o serviço Respondente Online está em execução não pode conectar-se a uma autoridade de certificação que foi configurada para emitir certificados com base no modelo de Autenticação de Resposta OCSP.
-
O Respondente Online não tem permissões de Leitura, Inscrição e Inscrição Automática no modelo de assinatura de resposta OCSP.
Se a configuração da revogação estiver definida para inscrição manual do certificado de autenticação de resposta OCSP, localize o certificado de autenticação dentro do repositório de certificados Pessoal do computador do Respondente Online.
Para configurações manuais, você pode renovar o certificado de autenticação usando o snap-in de certificados e o Assistente para Renovação de Certificados.
Também é possível que o certificado de autenticação de resposta OCSP não possa ser renovado porque a chave da autoridade de certificação que foi usada para assinar o certificado original de autenticação de resposta OCSP foi renovada e não está mais disponível. Para solucionar esse problema, você deve permitir que o certificado de autenticação de resposta OCSP seja renovado com uma chave existente. Para obter mais informações, consulte Renovar certificados de autenticação de resposta OCSP com uma chave existente.
-
O computador no qual o serviço Respondente Online está em execução não pode conectar-se a uma autoridade de certificação que foi configurada para emitir certificados com base no modelo de Autenticação de Resposta OCSP.
Não é possível carregar a configuração de revogação de um Respondente Online.
-
Causa: A configuração de renovação foi corrompida.
-
Solução: Use o snap-in Respondente Online para excluir e recriar a configuração de revogação. Se esse problema ocorreu em um membro da Matriz, você pode excluir a configuração corrompida do membro da Matriz e sincronizar a Matriz para recriar a configuração de revogação. Se você estiver encontrando esse problema em um controlador da Matriz, defina temporariamente outro computador como controlador da Matriz, sincronize a Matriz e redefina o computador original como controlador da Matriz.
O Serviço Respondente Online não conseguiu recuperar uma CRL para a configuração de revogação especificada.
-
Causa: a publicação da lista de certificados revogados (CRL) falhou, os pontos de distribuição da CRL são inválidos ou o Serviço Respondente Online não conseguiu acessar a CRL publicada.
-
Solução: para identificar e solucionar problemas de recuperação de CRL de um Respondente Online:
-
Use o snap-in Respondente Online para verificar se as URLs configuradas para os pontos de distribuição das CRLs base e delta são válidas.
-
Use o snap-in Autoridade de Certificação para verificar as URLs nas quais a autoridade de certificação publicará as CRLs base e delta.
-
No computador em que a CRL base está publicada, examine a extensão Freshest CRL da CRL base. Verifique se ela identifica um local em que a CRL delta pode ser localizada.
-
Republique a CRL atual, se necessário, digitando o seguinte comando no prompt de comando:
certutil -crl
-
Em seguida, verifique se o Serviço Respondente Online pode acessar a CRL. No snap-in Respondente Online, clique com o botão direito do mouse em Configuração da Matriz e clique em Atualizar Dados de Revogação.
-
Use o snap-in Respondente Online para verificar se as URLs configuradas para os pontos de distribuição das CRLs base e delta são válidas.