本節列出在使用線上回應嵌入式管理單元,或是使用線上回應陣列時可能會遭遇的一些常見問題。如需線上回應的疑難排解與解決問題的相關資訊,請參閱「Active Directory 憑證服務疑難排解」(https://go.microsoft.com/fwlink/?LinkId=89215 (可能為英文網頁))。

您遇到什麼問題?

線上回應服務無法啟動。
  • 原因:登錄資訊毀損或系統資源不足,都可能使線上回應服務啟動失敗。

  • 解決方案:試著從 [服務] 嵌入式管理單元 (Services.msc) 重新啟動線上回應服務。如果線上回應服務啟動失敗,請檢查事件記錄檔中其他可能與此失敗相關的錯誤。如果系統資源不足以啟動線上回應服務,請試著重新啟動電腦或釋放系統資源。如果登錄資訊毀損,您必須使用「伺服器管理員」將線上回應服務解除安裝再重新安裝。

找不到線上回應的簽署憑證。
  • 原因:OCSP 回應簽署憑證不在電腦帳戶的個人憑證存放區中,或者,如果應使用自動註冊發行簽署憑證,但自動註冊沒有完成。

  • 解決方案:如果在本機電腦的個人憑證存放區中沒有 OCSP 回應簽署憑證,且手動 OCSP 回應簽署憑證註冊或自動探索有設定撤銷,您應該手動註冊憑證。若線上回應服務設定為可註冊它自己的憑證,手動註冊將失去作用,則您必須識別自動註冊無法運作的原因。可能的原因包括:

    • 執行線上回應服務的電腦無法連線到已設定的憑證授權單位 (CA),這是根據 OCSP 回應簽署範本設定用來發行憑證的 CA。

    • 線上回應對 OCSP 回應簽署範本不具有讀取、註冊、自動註冊 (如果有使用自動註冊) 的權限。

嘗試建立撤銷設定失敗。
  • 原因:嘗試建立撤銷設定失敗,且出現「陣列控制器的簽署憑證錯誤」訊息。

  • 解決方案: 檢查 OCSP 回應簽署憑證範本的設定是否正確。或者,將憑證範本設定為可手動註冊這些簽署憑證。

線上回應設定的簽署憑證即將到期。
  • 原因:若沒有使用自動註冊,當憑證只剩下其存留期的某百分比時 (依預設,是憑證有效期間的百分之十),會自動產生更新到期憑證的提醒。您可以使用 [憑證] 嵌入式管理單元來檢查電腦的個人憑證存放區中或線上回應服務的 OCSP 回應簽署憑證,找到憑證目前的剩餘時間。

  • 解決方案:如果 OCSP 回應簽署憑證範本已設定為自動註冊及更新,就不需要進一步的動作。如為手動設定,可以使用 [憑證] 嵌入式管理單元和 [憑證更新精靈] 更新此簽署憑證。

撤銷設定的簽署憑證已經到期。
  • 原因:在到期日之前,自動更新簽署憑證失敗,或沒有完成手動憑證更新。

  • 解決方案:若線上回應服務設定為可註冊它自己的憑證,手動註冊將失去作用,則您必須識別自動註冊無法運作的原因。可能的原因包括:

    • 執行線上回應服務的電腦無法連線到已設定的 CA,這是根據 OCSP 回應簽署範本設定用來發行憑證的 CA。

    • 線上回應對 OCSP 回應簽署範本不具有讀取、註冊、自動註冊的權限。

    CA 系統管理員應該在再次嘗試自動註冊之前,使用憑證授權單位和 [憑證範本] 嵌入式管理單元來驗證 OCSP 回應簽署範本的可用性和設定。

    如果 OCSP 回應簽署憑證的手動註冊有撤銷設定,請找出線上回應電腦的本機電腦個人憑證存放區中的簽署憑證。

    如為手動設定,可以使用 [憑證] 嵌入式管理單元和 [憑證更新精靈] 更新此簽署憑證。

    也有可能用來簽署原始 OCSP 回應簽署憑證的 CA 金鑰已經更新不能再使用,使得 OCSP 回應簽署憑證無法更新。若要解決這個問題,必須允許 OCSP 回應簽署憑證以現有金鑰更新。如需相關資訊,請參閱以現有金鑰更新 OCSP 回應簽署憑證

無法載入線上回應撤銷設定。
  • 原因:撤銷設定已毀損。

  • 解決方案:使用 [線上回應] 嵌入式管理單元來刪除並重新建立撤銷設定。如果這個問題是發生在陣列成員上,您可以刪除陣列成員的毀損設定,然後將陣列同步化,以重新建立撤銷設定。如果這個問題是發生在陣列控制器上,暫時先設定另一部電腦作為陣列控制器,將陣列同步化,然後再將原來的電腦重設為陣列控制器。

線上回應服務無法擷取指定撤銷設定的 CRL。
  • 原因:憑證撤銷清單 (CRL) 發佈失敗、CRL 發佈點無效,或線上回應服務無法存取發佈的 CRL。

  • 解決方案:識別線上回應的 CRL 擷取問題並加以處理:

    1. 使用 [線上回應] 嵌入式管理單元來驗證針對基本及 Delta CRL 發佈點所設定的 URL 是否有效。

    2. 使用 [憑證授權單位] 嵌入式管理單元來驗證 URL,這是 CA 將發佈基本及 Delta CRL 的地方。

    3. 在發佈基本 CRL 的電腦上,檢查基本 CRL 的 [最新的 CRL] 延伸。驗證這確實可以識別 Delta CRL 的所在位置。

    4. 視需要在命令提示字元中輸入下列命令,即可重新發佈目前的 CRL: certutil -crl

    5. 然後,驗證線上回應服務是否可以存取該 CRL。在 [線上回應] 嵌入式管理單元中,在 [陣列設定] 上按一下滑鼠右鍵,然後按一下 [重新整理撤銷資料]