Экспорт (0) Печать
Развернуть все

Установка, настройка и устранение неполадок сетевого ответчика (ответчика OCSP (Майкрософт))

Обновлено: Март 2011 г.

Назначение: Windows Server 2008

noteПримечание
Загрузить копию этого документа можно по адресу http://go.microsoft.com/fwlink/?LinkId=85461 (на английском языке).

Обзор

Инфраструктура открытого ключа (PKI) состоит из нескольких компонентов, среди которых сертификаты, списки отзыва сертификатов и центры сертификации (ЦС). В большинстве случаев приложения, зависящие от сертификатов X.509 (например, S/MIME, протокол SSL или смарт-карты), должны проверять состояние сертификатов при их использовании для проверки подлинности, подписывания или шифрования. Проверка состояния и отзыва сертификатов – это процедура, в ходе которой действительность сертификатов проверяется по двум категориям: время и состояние отзыва.

  • Время. Сертификат выдается на фиксированный период времени и считается действительным, пока не истечет срок его действия или пока он не будет отозван.

  • Состояние отзыва. Сертификаты могут быть отозваны до истечения срока действия по различным причинам (например, из-за приостановки действия или компрометации ключа). Перед выполнением любой операции приложения обычно проверяют, не был ли сертификат отозван.

Хотя проверку состояния отзыва сертификатов можно выполнять различными способами, общепринятыми механизмами являются списки отзыва сертификатов, разностные списки отзыва сертификатов и ответы OCSP. Ниже перечислены распространенные сценарии использования протокола OCSP.

  • Проверка отзыва сертификата SSL/TLS.

  • Вход со смарт-картой.

  • Корпоративный S/MIME.

  • Виртуальные частные сети (VPN) на основе EAP и TLS.

В операционные системы, предшествующие Windows Vista®, встроена только поддержка списков отзыва сертификатов. В операционные системы Windows Vista и Windows Server® 2008 для определения состояния сертификатов встроена поддержка списков отзыва сертификатов и протокола OCSP. Поддержка протокола OCSP включает как клиентский компонент, так и сетевой ответчик, который является серверным компонентом.

Общие понятия проверки состояния отзыва

Когда приложение оценивает сертификат, оно проверяет все сертификаты в его цепочке: от сертификата конечного субъекта, представленного приложению, до корневого сертификата.

После проверки действительности первого сертификата в цепочке выполняется описанная ниже процедура.

  1. Механизм построения цепочки сертификатов пытается составить для проверяемого сертификата цепочку, обращаясь в локальное хранилище сертификатов или выполняя загрузку с одного из URL-адресов, указанных в AIA-расширении проверяемого сертификата.

  2. Для всех цепочек сертификатов, которые оканчиваются сертификатом доверенного корневого центра сертификации, подтверждаются все сертификаты цепочки. Эта процедура состоит из указанных ниже действий.

    • Проверяется действительность подписи каждого сертификата.

    • Проверяется, чтобы текущие значения даты и времени находились в пределах срока действия каждого сертификата.

    • Проверяется отсутствие поврежденных и неверно сформированных сертификатов.

  3. Для каждого сертификата в цепочке проверяется состояние отзыва. Проверка состояния отзыва осуществляется с помощью списка отзыва сертификатов или протокола OCSP (в зависимости от конфигурации сертификата).

После завершения проверки действительности механизм построения цепочки сертификатов возвращает результаты приложению, которое отправило запрос на проверку. Когда все сертификаты цепочки действительны, когда цепочка заканчивается корневым ЦС, который не является доверенным, когда среди сертификатов цепочки есть недействительные или когда невозможно определить состояние отзыва какого-либо из сертификатов цепочки, это будет указано в результатах.

Дополнительные сведения см. в статье "Отзыв сертификатов и проверка состояния" (http://go.microsoft.com/fwlink/?LinkID=27081, на английском языке).

Списки отзыва сертификатов

Список отзыва сертификатов – это файл, который создается и подписывается центром сертификации. В нем содержатся серийные номера сертификатов, выпущенных и впоследствии отозванных этим центром сертификации. Кроме серийных номеров отозванных сертификатов в списке отзыва сертификатов также содержится причина и время отзыва каждого из сертификатов.

В настоящее время существует два следующих типа списков отзыва сертификатов: базовые и разностные. В базовых списках отзыва сертификатов содержится полный список отозванных сертификатов, а в разностных – только те сертификаты, которые были отозваны с момента последней публикации базового списка отзыва сертификатов.

Основным недостатком списков отзыва сертификатов является их потенциально большой объем, что ограничивает масштабируемость такого подхода. Большой размер требует существенного увеличения пропускной способности и расширения места для хранения в центре сертификации и у проверяющей стороны и поэтому ограничивает возможности системы по распространению списка отзыва сертификатов. Если частота публикации становится слишком большой, это также может отрицательно сказаться на пропускной способности, размерах хранилища и эффективности работы центра сертификации. Предпринимались многочисленные попытки решить проблему размера списков отзыва сертификатов с помощью разделенных, разностных и непрямых списков отзыва сертификатов. Однако все эти подходы лишь делали систему более сложной и дорогостоящей, не решая главной проблемы.

Другим недостатком списков отзыва сертификатов является задержка. Поскольку период публикации списка отзыва сертификатов заранее определен, сведения в нем могут устаревать до публикации нового или разностного списка отзыва сертификатов.

Протокол OCSP

OCSP – это протокол передачи гипертекста (HTTP), который позволяет проверяющей стороне передать запрос состояния сертификата ответчику OCSP. Ответчик OCSP возвращает определенный ответ с цифровой подписью, указывающий состояние сертификата. Каждый запрос возвращает постоянный объем данных независимо от числа отозванных сертификатов в центре сертификации. Большинство ответчиков OCSP получают данные из опубликованных списков отзыва сертификатов и, как следствие, зависят от частоты публикации данных центром сертификации. Однако некоторые ответчики OCSP могут получать данные непосредственно из базы данных состояния сертификатов центра сертификации и сообщать о состоянии практически в реальном времени.

Основным недостатком использования протокола OCSP является масштабируемость. Поскольку это интерактивный процесс, который разрабатывался для ответа на однократные запросы состояния сертификатов, количество обращений к серверам очень велико и для балансировки нагрузки приходится использовать много серверов (иногда территориально распределенных). Процессы подписывания и проверки подписи также отнимают время, что может отрицательно сказаться на общем времени ответа для проверяющей стороны. И, наконец, поскольку надежность подписанного ответа зависит от надежности ключа подписи ответчика OCSP, после проверки ответа клиентом необходимо также проверить действительность этого ключа.

Общие сведения о компонентах сетевого ответчика

Реализация протокола OCSP корпорации Майкрософт включает клиентский и серверный компоненты (рисунок 1). Клиентский компонент встроен в библиотеку CryptoAPI 2.0, а серверный компонент представлен в качестве новой службы в составе роли сервера "Службы сертификации Active Directory®".

Рис. 1. Компоненты сетевого ответчика (Майкрософт)

Компоненты ‌сетевого ответчика

Клиент OCSP

Клиент OCSP полностью интегрирован в инфраструктуру отзыва сертификатов CryptoAPI 2.0. В нем реализованы рекомендации, приведенные в проекте стандарта IETF X.509 (PKIX) "Облегченный профиль OCSP для сред с большими нагрузками", поэтому он оптимизирован для больших нагрузок.

Основные различия между облегченным профилем OCSP и RFC 2560 можно охарактеризовать следующим образом.

  • Облегченный профиль OCSP поддерживает протоколы HTTP и HTTPS.

  • В ответах облегченного профиля OCSP должны быть указаны даты notBefore (не ранее) и notAfter (не позже), которые в полном профиле являются необязательными.

  • В облегченном профиле OCSP подписанные запросы не поддерживаются. Клиент не может создавать подписанный запрос. Если сетевому ответчику отправляются подписанные запросы, которые могут создаваться клиентами OCSP других производителей, возвращается ответ "Несанкционированный".

  • В облегченном профиле OCSP расширение "nonce" не поддерживается в запросе и игнорируется в ответе. Однако сетевой ответчик поддерживает это расширение и возвращает ответ, который содержит его, если это указано в настройках. Дополнительные сведения см. в разделе Управление конфигурациями отзыва.

Когда приложение вызывает CryptoAPI 2.0 для проверки сертификата, в котором указаны расположения сетевых ответчиков, инфраструктура проверки состояния отзыва выполняет указанные ниже действия (для каждого сетевого ответчика, указанного в AIA-расширении).

  1. Поиск в локальном кэше CryptoAPI 2.0 в памяти и на диске кэшированного ответа OCSP с действительным временем. На диске кэш расположен в следующем каталоге: <диск>:\Users\<Имя_пользователя>\AppData\LocalLow\Microsoft\CryptnetUrlCache.

    noteПримечание
    По умолчанию клиент OCSP выполняет кэширование ответов. Это поведение можно изменить с помощью значения ChainCacheResynchFiletime, которое находится в разделе реестра HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config. Значение ChainCacheResynchFiletime определяет дату и время очистки кэша в памяти. Для изменения значения ChainCacheResynchFiletime служит приведенная ниже команда Certutil.

    • Настройка значения реестра на текущую дату и время:

      certutil –setreg chain\ChainCacheResyncFiletime @now

    • Настройка значения реестра на текущую дату и время плюс 3 дня и 1 час:

      certutil –setreg chain\ChainCacheResyncFiletime @now+3:1

    • Отображение значения реестра:

      certutil –getreg chain\ChainCacheResyncFiletime

    • Удаление значения реестра:

      certutil –delreg chain\ChainCacheResyncFiletime

  2. Если приемлемые кэшированные ответы не найдены, выполняется отправка запроса с помощью метода HTTP GET. В случаях, когда сетевой ответчик не поддерживает метод GET, CryptoAPI 2.0 повторяет запрос с использованием метода HTTP POST. С помощью одного запроса OCSP можно проверить только один сертификат. Кроме того, CryptoAPI 2.0 нельзя настроить на первоочередное использование метода POST.

  3. Проверяется подпись на ответе, включая выделенный сертификат подписи OCSP. Если сертификат содержит расширение "id-pkix-ocsp-nocheck", определяемое идентификатором объекта 1.3.6.1.5.5.7.48.1.5, CryptoAPI не будет проверять состояние отзыва выделенного сертификата подписи OCSP.

Кэш веб-прокси сетевого ответчика

Кэш веб-прокси сетевого ответчика представляет собой интерфейс службы для сетевого ответчика. Он реализован как расширение интерфейса программирования серверных приложений (ISAPI), расположенного в службах IIS, и выполняет следующие операции.

  • Декодирование запроса. Все запросы, отправляемые сетевому ответчику, закодированы в ASN.1 в соответствии со схемой запроса и ответа, определенной в документе RFC 2560. Дополнительные сведения см. в документе RFC 2560 "Инфраструктура открытых ключей Интернета X.509, протокол OCSP" (http://go.microsoft.com/fwlink/?LinkID=71068, на английском языке). После того как веб-прокси сетевого ответчика получит запрос, компонент декодирования пытается декодировать его и извлечь серийный номер сертификата для проверки.

  • Кэширование ответа. После получения запроса и извлечения серийного номера сертификата веб-прокси сетевого ответчика пытается выполнить поиск действительного ответа в локальном кэше. Кэш реализован как часть расширения ISAPI и находится в оперативной памяти. Если запрос клиента приводит к ошибке кэша, для получения ответа веб-прокси сетевого ответчика выполняет запрос к службе сетевого ответчика. По умолчанию срок действия элемента кэша соответствует сроку действия списка отзыва сертификатов, с использованием которого был создан ответ, или сроку действия ключа подписи (меньшему из этих значений).

noteПримечание
В дополнение к кэшированию расширения ISAPI OCSP кэширование в течение 120 секунд выполняет библиотека IIS HTTP.SYS. Несколько запросов к сетевому ответчику, выполненные в этот период времени, будут обслужены ответами, кэшированными библиотекой HTTP.SYS.

Служба сетевого ответчика

Сетевой ответчик – это служба Microsoft Windows NT® (ocspsvc.exe), которая работает с правами сетевой службы. Она выполняет перечисленные ниже операции.

  • Управление конфигурацией сетевого ответчика. Сетевой ответчик обладает набором настраиваемых атрибутов. К этим атрибутам относятся общие интерфейсы, параметры управления доступом, параметры аудита и параметры кэша веб-прокси. Все сведения конфигурации хранятся в кусте реестра HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder.

  • Извлечение и кэширование сведений об отзыве с учетом конфигурации. В зависимости от конфигурации отзыва служба сетевого ответчика может извлекать и кэшировать для использования в будущем такие сведения об отзыве, как списки отзыва сертификатов и разностные списки отзыва сертификатов. Дополнительные сведения см. в разделе Конфигурация отзыва.

  • Подписывание ответов. Для каждого успешного запроса сетевой ответчик подписывает ответ предварительно полученным ключом подписи.

  • Аудит изменений конфигурации. Чтобы обеспечить соответствие стандарту Common Criteria, все изменения конфигурации сетевого ответчика можно подвергать аудиту. Дополнительные сведения о параметрах аудита см. в разделе Настройка сетевого ответчика.

Конфигурация отзыва

Конфигурация отзыва – это набор определений, с помощью которых настраивается ответ службы сетевого ответчика на запрос для определенного центра сертификации. У каждого сетевого ответчика может быть одна или несколько конфигураций отзыва. Конфигурация отзыва включает следующие компоненты:

  • сертификат центра сертификации;

  • сертификат подписи для ответов OCSP;

  • конфигурация для поставщика отзыва.

Поставщики отзыва

Поставщики отзыва – это компоненты, отвечающие за извлечение и кэширование сведений отзыва, которые использует служба сетевого ответчика. Когда служба сетевого ответчика получает запрос OCSP, она сначала находит конфигурацию отзыва, которая настроена на предоставление сведений отзыва для центра сертификации, выпустившего проверяемый сертификат. После нахождения конфигурации отзыва служба сетевого ответчика извлекает серийный номер сертификата и выполняет поиск в локальном списке отзыва сертификатов (дополнительные сведения о локальном списке отзыва сертификатов см. в разделе Управление конфигурациями отзыва). Если нужные сведения не найдены, служба сетевого ответчика отправляет серийный номер поставщику отзыва, который используется этой конфигурацией отзыва. Затем поставщик возвращает состояние сертификата службе сетевого ответчика.

Хотя поставщики отзыва разработаны с учетом возможного расширения, что предусматривает возможность разработки настраиваемых поставщиков и их использование сетевым ответчиком, сетевой ответчик Windows Server 2008 обеспечивает только поставщик отзыва по умолчанию на основе списка отзыва сертификатов и не предусматривает возможности добавления новых поставщиков.

Обзор моделей развертывания сетевого ответчика

При развертывании сетевого ответчика в целях масштабируемости, высокой надежности и безопасности следует рассмотреть различные модели развертывания.

Достижение масштабируемости и высокой надежности

На рисунке 2 показаны модели развертывания, которые могут обеспечить масштабируемость и высокую надежность. Сетевой ответчик можно развернуть на одном компьютере или в программном кластере, состоящем из одного или нескольких компьютеров. Кластер можно организовать с использованием каких-либо программных или аппаратных служб балансировки нагрузки TCP/IP. Оснастка консоли управления "Сетевой ответчик" обеспечивает возможность управления несколькими ответчиками так, как если бы они представляли собой один объект. Дополнительные сведения см. в разделе Настройка сетевого ответчика.

Рис. 2. Модели развертывания масштабируемости и высокой надежности

Модель развертывания с масштабируемостью и высокой доступностью

Модели развертывания для экстрасетей

При развертывании сетевых ответчиков, доступных из экстрасети, рекомендуется рассмотреть уровень защиты, который обеспечивается для ключа подписи сетевого ответчика. На рисунке 3 показано два варианта защиты сетевого ответчика.

Рис. 3. Модели развертывания для экстрасети

Модель развертывания экстрасети

На схеме 1 рисунка 3 сетевой ответчик находится в защищенной локальной сети, а все запросы перенаправляются сервером проверки подлинности с IIS, который находится в пограничной сети (известной также как "демилитаризованная зона" и "промежуточная подсеть"). Преимущество такой модели развертывания заключается в том, что для конфигурации брандмауэра требуется только пропускание трафика на порт 80 между IIS и сетевым ответчиком. Аналогичных результатов можно достичь с помощью обратных прокси сервера Microsoft Internet Security and Acceleration (ISA) Server, как показано на схеме 2 рисунка 3. Чтобы настроить правила веб-публикации сервера ISA Server 2006, выполните описанные ниже действия.

  1. Откройте оснастку "Microsoft Internet Security and Acceleration Server 2006". Щелкните правой кнопкой мыши узел Политика межсетевого экрана, выделите пункт Создать и выберите команду Правило публикации веб-узла.

  2. Введите имя нового правила и нажмите кнопку Далее.

  3. Убедитесь в том, что установлен флажок Разрешить, и нажмите кнопку Далее.

  4. Если правило создается для одного сервера или кластера балансировки сетевой нагрузки, выберите пункт Опубликовать один веб-узел или систему балансировки нагрузки. Если сервер ISA Server используется в качестве средства балансировки нагрузки для массива сетевых ответчиков, выберите пункт Опубликовать ферму веб-серверов с балансировкой нагрузки. Нажмите кнопку Далее.

  5. Установите флажок Использовать небезопасные подключения для подключения к опубликованному веб-серверу или ферме серверов и нажмите кнопку Далее.

    noteПримечание
    С протоколом OCSP не следует использовать протокол SSL.

  6. Введите имя, которое клиенты используют для подключения к сетевому ответчику. Это имя сервера с сервером ISA Server или DNS-псевдоним, указывающий на сервер с сервером ISA Server.

  7. Чтобы ограничить правило публикации только пересылкой запросов OCSP, введите в поле Путь текст ocsp/*.

  8. Если сервер ISA Server используется в качестве средства балансировки нагрузки, выберите существующую ферму серверов или создайте новую.

  9. Чтобы создать ферму серверов, нажмите кнопку Создать, в результате чего будет запущен мастер создания фермы серверов. Введите имя новой фермы серверов и нажмите кнопку Далее.

  10. Чтобы добавить имена или IP-адреса серверов, нажмите кнопку Добавить.

  11. Оставьте параметры наблюдения за подключением по умолчанию и нажмите кнопку Далее.

  12. Чтобы закрыть мастер, нажмите кнопку Готово.

  13. В поле Внешнее имя введите полное доменное имя или IP-адрес, который будет использоваться для сетевого ответчика.

  14. В списке Веб-прослушиватель выберите веб-прослушиватель. Если веб-прослушиватель еще не настроен, нажмите кнопку Создать, чтобы запустить мастер создания веб-прослушивателя.

  15. Введите имя веб-прослушивателя и нажмите кнопку Далее.

  16. Установите флажок Не требовать безопасного подключения SSL для клиентов.

    noteПримечание
    С протоколом OCSP не следует использовать протокол SSL.

  17. Чтобы разрешить всем компьютерам сети подключаться к службе сетевого ответчика, установите флажок Все сети (и локальный компьютер) и нажмите кнопку Далее.

  18. В списке Укажите способ предоставления учетных данных клиентами серверу ISA Server выберите вариант Без проверки подлинности и нажмите кнопку Далее.

    noteПримечание
    Служба сетевого ответчика будет открыта для анонимного доступа.

  19. Нажмите кнопку Далее.

    noteПримечание
    Поскольку параметры проверки подлинности не указаны, настройка параметров единого входа не требуется.

  20. Чтобы закрыть мастер, нажмите кнопку Готово.

  21. На странице Выбрать веб-прослушиватель нажмите кнопку Далее.

  22. На странице Делегирование проверки подлинности нажмите кнопку Далее.

  23. На странице Наборы учетных записей нажмите кнопку Далее.

  24. Чтобы закрыть мастер, нажмите кнопку Готово.

  25. Чтобы включить новую политику после завершения работы мастера, нажмите кнопку Применить.

  26. Чтобы закрыть диалоговое окно после применения правил, нажмите кнопку ОК.

Развертывание сетевого ответчика (Майкрософт)

Развертывание сетевого ответчика состоит из трех действий:

  • установка службы сетевого ответчика;

  • подготовка среды;

  • настройка сетевого ответчика.

Установка службы сетевого ответчика

Развертывание сетевых ответчиков необходимо производить после развертывания центра сертификации и до выпуска сертификатов конечных субъектов. Дополнительные сведения о развертывании Диспетчер серверов и центров сертификации см. в статье "Усовершенствования центров сертификации в Windows Server 2008" по адресу http://go.microsoft.com/fwlink/?LinkID=83212 (на английском языке).

  1. В меню Пуск укажите на пункт Администрирование, а затем выберите пункт Диспетчер сервера.

    Рис. 4. Диспетчер серверов

    Диспетчер серверов
  2. Если сетевой ответчик устанавливается на компьютер без служб роли "Службы сертификации Active Directory", щелкните на главной странице ссылку Добавить роли.

    noteПримечание
    Если сетевой ответчик устанавливается на компьютер, на котором уже установлен центр сертификации или один из его компонентов, выберите в области слева узел "Службы сертификации Active Directory" и на главной странице щелкните ссылку "Добавить службы ролей".

  3. На странице Выбор ролей сервера мастера добавления ролей (рисунок 5) установите флажок Службы сертификации Active Directory и нажмите кнопку Далее.

    Рис. 5. Выбор ролей сервера

    Добавление службы роли сетевого ответчика
  4. На странице Выбор служб ролей (рисунок 6) установите флажок Протокол OCSP.

    Рис. 6. Выбор служб ролей

    Добавление роли сервера ‌служб сертификации Active Directory Поскольку для сетевого ответчика требуются службы IIS, то отображается запрос на установку служб ролей IIS (рисунок 7). Для правильной работы сетевого ответчика требуются перечисленные ниже компоненты служб IIS.

    Веб-сервер

    Основные возможности HTTP

    • Статическое содержимое

    • Документ по умолчанию

    • Просмотр каталогов

    • Ошибки HTTP

    • Перенаправление HTTP

    Разработка приложений

    • Расширяемость .NET

    • Расширения ISAPI

    Работоспособность и диагностика

    • Ведение журнала HTTP

    • Средства ведения журналов

    • Монитор запросов

    • Трассировка

    Безопасность

    • Фильтрация запросов

    Производительность

    • Сжатие статического содержимого

    Средства управления

    • Консоль управления IIS

    • Совместимость управления IIS 6

    • Совместимость метабазы IIS

  5. Чтобы установить требуемые службы IIS, нажмите кнопку Добавить требуемые службы роли и нажмите кнопку Далее.

    Рис. 7. Добавление требуемых служб роли

    Добавление служб OCSP и IIS
  6. В следующих двух действиях можно выбрать службы роли для веб-сервера (IIS). Дважды нажмите кнопку Далее.

  7. На странице Подтверждение параметров установки (рисунок 8) нажмите кнопку Установить.

    Рис. 8. Подтверждение параметров установки

    Варианты установки IIS
    noteПримечание
    Установка служб IIS может занять длительное время.

    Рис. 9. Ход выполнения установки

    Подтверждение параметров установки
  8. После окончания процесса установки состояние установки отображается на странице Результаты установки.

    Рис. 10. Результаты установки

    Подтверждение установки
  9. Нажмите кнопку Закрыть.

В процессе установки в IIS создается виртуальный каталог с именем OCSP и регистрируется расширение ISAPI, используемое в качестве веб-прокси. Зарегистрировать или отменить регистрацию веб-прокси вручную можно с помощью двух команд.

certutil –vocsproot

certutil –vocsproot delete

Подготовка среды

Подготовка среды состоит из следующих этапов:

  • настройка центра сертификации;

  • настройка шаблонов сертификатов подписи ответов OCSP;

  • подача заявки на сертификат подписи ответов OCSP в автономный центр сертификации;

  • защита ключей подписи OCSP с помощью аппаратного модуля безопасности (HSM).

Настройка центров сертификации

Центры сертификации необходимо настроить таким образом, чтобы URL-адрес сетевого ответчика включался в AIA-расширение выдаваемых сертификатов. Этот URL-адрес будет использоваться клиентом OCSP для проверки состояния сертификата.

Настройка AIA-расширения

  1. Откройте оснастку "Центр сертификации", щелкните правой кнопкой мыши имя центра сертификации, выдающего сертификаты, и выберите команду Свойства.

  2. Откройте вкладку Расширения.

  3. В списке Выберите расширение выберите пункт Доступ к сведениям о центрах сертификации (AIA) (рисунок 11) и нажмите кнопку Добавить.

    Рис. 11. Свойства центра сертификации

    Добавление свойств ‌доступа к информации о центрах сертификации (AIA)
  4. В диалоговом окне Добавление размещения (рисунок 12) введите URL-адрес сетевого ответчика в следующем виде: http://<Имя_DNS_сервера>/<виртуальный_каталог>

    noteПримечание
    При установке сетевого ответчика в службах IIS по умолчанию используется каталог OCSP.

    Рис. 12. Диалоговое окно "Добавление размещения"

    Настройка доступа к информации о центрах сертификации для OCSP
  5. Нажмите кнопку ОК.

  6. Выберите размещение в списке Размещение.

  7. Установите флажок Включать в расширения протокола OCSP и нажмите кнопку ОК.

Настройка шаблонов сертификатов подписи ответов OCSP

Сетевой ответчик может подписывать ответы OCSP с помощью ключа центра сертификации, выпускающего сертификаты, или с помощью специального ключа подписи. Сертификат подписи имеет следующие атрибуты:

  • короткий срок действия (рекомендуемый срок действия – две недели);

  • содержит расширение "id-pkix-ocsp-nocheck";

  • не содержит расширения точки распространения списков отзыва сертификатов или доступа к сведениям центра сертификации;

  • содержит поле расширенного использования ключа "id-kp-OCSPSigning".

  • Действия по настройке шаблона сертификата подписи ответов OCSP в операционной системе Windows Server 2003 отличаются от действий в Windows Server 2008.

noteПримечание
В Windows Server 2008 используется шаблон версии 3. Помимо других усовершенствований новая версия шаблона предусматривает расширенную поддержку шифрования. Дополнительные сведения см. в статье "Усовершенствования центров сертификации в Windows Server 2008" по адресу http://go.microsoft.com/fwlink/?LinkID=83212 (на английском языке).

Настройка шаблона сертификата подписи ответов OCSP при использовании центра сертификации на базе Windows Server 2008

В Windows Server 2008 новый шаблон сертификата добавляется к доступным шаблонам в доменных службах Active Directory. Новый шаблон с именем "Подписывание отклика OCSP" – это шаблон версии 3, в котором предварительно настроены необходимые расширения и атрибуты, описанные выше. В шаблон или в центр сертификации не требуется вносить изменения.

На рисунке 13 показана последовательность определения поведения модуля политик в Windows Server 2008 при обработке запроса сертификата подписи ответов OCSP.

Рис. 13. Обработка запроса сертификата подписи ответов OCSP

Процесс запроса сертификата подписи OCSP

Флаг EDITF_ENABLEOCSPREVNOCHECK – это новый флаг реестра центра сертификации, добавленный в центр сертификации на базе Windows Server 2008. Новый флаг, который по умолчанию не установлен, позволяет модулю политик центра сертификации выпускать сертификаты с расширением "id-pkix-ocsp-nocheck". Новый шаблон сертификата подписи ответов OCSP также содержит дополнительный флаг с именем CT_FLAG_ADDREVNOCHECK, который требует от модуля политик добавления расширения "id-pkix-ocsp-nocheck". Если флаг EDITF_ENABLEOCSPREVNOCHECK включен или шаблон содержит флаг CT_FLAG_ADDREVNOCHECK, модуль политик будет искать в запросе и в шаблоне поле расширенного использования для подписи OCSP. Если выполняются оба условия, модуль политик добавляет расширение "id-pkix-ocsp-nocheck" и удаляет из сертификата расширения доступа к сведениям центра сертификации и точки распространения списков отзыва сертификатов. Это позволяет центру сертификации на базе Windows Server 2008 выпускать сертификаты подписи ответов OCSP в ЦС предприятий и в автономных ЦС.

Если используется центр сертификации предприятия, то дополнительная настройка не требуется, за исключением включения возможности центра сертификации выпускать сертификаты на основе шаблона сертификата подписи ответов OCSP. В случае использования автономного центра сертификации для включения или отключения флага EDITF_ENABLEOCSPREVNOCHECK в центре сертификации необходимо использовать указанные ниже команды.

Чтобы установить флаг, выполните следующую команду:

certutil -v -setreg policy\editflags +EDITF_ENABLEOCSPREVNOCHECK

Чтобы снять флаг, выполните следующую команду:

certutil –v –setreg policy\editflags –EDITF_ENABLEOCSPREVNOCHECK

После установки или снятия флага центр сертификации необходимо перезапустить, чтобы изменения вступили в силу.

Настройка шаблона сертификата подписи ответов OCSP при использовании центра сертификации на базе Windows Server 2003

Один из недостатков шаблонов сертификатов заключается в невозможности добавления настраиваемых расширений. Это порождает проблему создания и настройки шаблона сертификата подписи ответов OCSP в Windows Server 2003 и возможность добавления расширения "id-pkix-ocsp-nocheck". Описанные ниже процедуры позволяют использовать шаблон сертификата подписи ответов OCSP с центром сертификации на базе Windows Server 2003.

Настройка шаблона сертификата на использование в центре сертификации на базе Windows Server 2003

  1. Откройте оснастку "Шаблоны сертификатов".

    noteПримечание
    Оснастку необходимо открывать из Windows Server 2008. Это необходимо ввиду того, что только новая версия оснастки поддерживает новые шаблоны версии 3 и позволяет копировать их.

  2. Щелкните правой кнопкой мыши шаблон Подписывание отклика OCSP и выберите команду Дублировать. Откроется диалоговое окно Скопировать шаблон (рисунок 14).

    Рис. 14. Диалоговое окно "Скопировать шаблон"

    Шаблон двойного подписания ответов OCSP
  3. Установите переключатель Windows Server 2003, Enterprise Edition и нажмите кнопку ОК. При этом будет создан шаблон версии 2, который может быть выпущен центром сертификации на базе Windows Server 2003, но все равно будет содержать расширение "id-pkix-ocsp-nocheck".

Затем необходимо настроить центр сертификации так, чтобы в запросы сертификатов можно было включать настраиваемые расширения.

Настройка центра сертификации Windows Server 2003

  1. На компьютере центра сертификации откройте окно командной строки и введите следующую команду:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
    
  2. Перезапустите службу центра сертификации с помощью следующих команд:

    net stop certsvc net start certsvc
    

Теперь центр сертификации настроен для выдачи сертификатов подписи ответов OCSP.

Настройка разрешений шаблона сертификата подписи ответов OCSP при использовании центра сертификации на базе Windows Server 2008 или Windows Server 2003

Как и в случае с любым другим шаблоном, для подачи заявок необходимо настроить разрешения "Чтение", "Заявка", "Автоматическая подача заявок", "Запись" и "Полный доступ".

Настройка параметров безопасности шаблона для разрешения подачи заявок на сертификаты подписи сетевым ответчиком

  1. Откройте оснастку "Шаблоны сертификатов".

  2. Дважды щелкните шаблон Подписывание отклика OCSP или его копию и откройте вкладку Безопасность.

  3. Добавьте компьютеры сетевых ответчиков в список Группы или пользователи.

  4. Чтобы компьютеры сетевых ответчиков могли подавать заявки на сертификат подписи ответов OCSP, установите для разрешений "Чтение" и "Заявка" флажок Разрешить.

noteПримечание
Сетевой ответчик не использует разрешение "Автоматическая подача заявок", отдельно реализованное для автоматической подачи заявок, которая подробно описана далее в этом документе. По умолчанию реализация автоматической подачи заявок в Windows ограничивает шаблон выдачей одного сертификата на клиента. По умолчанию автоматическая подача заявок в Windows будет обновлять только один из сертификатов подписи, доступных на компьютере сетевого ответчика, а остальные будет архивировать. В некоторых случаях при автоматической подаче заявок в Windows не будет использоваться исходный центр сертификации, который выпустил сертификат для обновления. Сетевой ответчик не ожидает такого поведения – он требует обновления от того же центра сертификации.

Назначение шаблона подписи ответов OCSP для центра сертификации

После настройки шаблонов необходимо настроить центр сертификации для их выдачи.

Чтобы настроить центр сертификации для выдачи сертификатов на основе созданного шаблона подписи ответов OCSP, выполните указанные ниже действия.

  1. Откройте оснастку центра сертификации.

  2. Щелкните правой кнопкой мыши контейнер Шаблоны сертификатов, выделите пункт Создать и выберите команду Выдаваемый шаблон сертификата.

  3. В списке доступных шаблонов выберите шаблон Подписывание отклика OCSP и нажмите кнопку ОК.

Подача заявки на сертификат подписи ответов OCSP

Для повышения безопасности сетевой ответчик работает с правами сетевой службы. Это означает, что по умолчанию у него нет доступа к закрытым ключам компьютера, и для предоставления доступа к необходимым сетевому ответчику ключам нужно изменить разрешения для них. В шаблоны версии 3 были добавлены новые возможности, которые позволяют клиенту подачи заявок настраивать разрешения для ключей компьютера в процессе подачи заявки так, чтобы разрешать доступ службам, работающим с учетной записью сетевой службы. Эти возможности доступны только в Windows Vista и Windows Server 2008.

В новом шаблоне версии 3 сертификата подписи ответов OCSP эти возможности включены по умолчанию, что позволяет клиенту подачи заявок автоматически изменять разрешения закрытого ключа, чтобы предоставлять сетевой службе доступ на чтение закрытого ключа подписи OCSP.

Если для выдачи сертификата на основе шаблона сертификата подписи ответов OCSP или копирования этого шаблона используется центр сертификации на базе Windows Server 2008, то дополнительная настройка не требуется.

Если используется центр сертификации на базе Windows Server 2003, Enterprise Edition, для предоставления службе сетевого ответчика доступ к закрытому ключу разрешения закрытого ключа подписи OCSP на компьютере сетевого ответчика необходимо настроить вручную.

В Windows Vista и Windows Server 2008 возможность изменения разрешений закрытого ключа добавлена в оснастку диспетчера сертификатов.

Следующую процедуру необходимо выполнить только в том случае, если для выдачи сертификатов подписи OCSP используется центр сертификации на базе Windows Server 2003.

Настройка разрешений закрытого ключа для сертификата подписи ответов OCSP, выдаваемого центром сертификации на базе Windows Server 2003

  1. На компьютере сетевого ответчика откройте оснастку диспетчера сертификатов для локального компьютера.

  2. В списке доступных сертификатов выберите сертификат Подписывание отклика OCSP.

    noteПримечание
    В первый раз заявку на сертификат подписи необходимо подавать вручную.

  3. В меню Действия выделите пункт Все задачи, выберите команду Управление закрытыми ключами и нажмите кнопку Добавить.

  4. Введите текст сетевая служба и нажмите кнопку ОК.

  5. Убедитесь в том, что для сетевой службы выбрано только разрешение Чтение, затем нажмите кнопку ОК.

  6. Чтобы перезапустить службу сетевого ответчика, введите в командной строке следующие команды:

    net stop ocspsvc net start ocspsvc
    
noteПримечание
Описанные выше действия следует выполнять только в том случае, если конфигурация отзыва сетевого ответчика настроена на подачу заявки на сертификат подписи OCSP вручную. Если конфигурация отзыва настроена на автоматическую подачу заявки на сертификат подписи OCSP, у закрытых ключей по умолчанию должны быть нужные разрешения и описанные выше действия выполнять не требуется.

noteПримечание
Если конфигурация отзыва настроена на использование автоматической подачи заявок на сертификат подписи ответов OCSP и используется центр сертификации на базе Windows Server 2003, для обновления сертификатов подписи OCSP потребуется выполнение дополнительных действий, которые описаны ниже.

Обновление сертификатов подписи ответов OCSP

После завершения подачи первой заявки на получение сертификата и соответствующей настройки списка управления доступом к ключу обновление сертификатов подписи ответов OCSP производится так же, как и обновление любого другого сертификата, но с одной поправкой: для обновления сертификата подписи ответов OCSP в период между обновлением сертификата центра сертификации и истечением срока действия старого сертификата центра сертификации необходимо выполнить определенные действия. Проблема возникает из-за того, что для подписывания сертификатов подписи ответов OCSP должен использоваться тот же ключ центра сертификации, который использовался для подписывания выданных сертификатов. Поскольку в центре сертификации этот ключ более недоступен, сертификаты подписи больше выдавать нельзя.

Рисунок 15 иллюстрирует данную проблему. Сертификаты подписи ответов OCSP (S1, S2) должны быть подписаны тем же ключом (k1), которым были подписаны сертификаты конечных субъектов (C1, C2), для предоставления состояния которых они используются. После обновления ключа центра сертификации (t1) для подписывания вновь выдаваемых сертификатов будет использоваться новый ключ (k2). В период между временем обновления сертификата центра сертификации (t1) и окончанием срока действия исходного сертификата (t2) центр сертификации не может выдавать или обновлять сертификаты подписи ответов OCSP, которые можно использовать для подписывания ответов OCSP для существующих действительных сертификатов (C1, C2).

Рис. 15. Проблема обновления сертификатов подписи ответов OCSP

Проблема обновления сертификата OCSP

Чтобы преодолеть данное ограничение, центр сертификации на базе Windows Server 2008 был обновлен так, чтобы разрешать обновление сертификатов подписи ответов OCSP с использованием существующих ключей. По умолчанию эта возможность отключена. Чтобы разрешить обновление сертификатов подписи ответов OCSP с использованием существующих ключей, выполните указанные ниже действия.

Разрешение обновления сертификатов подписи ответов OCSP с использованием существующих ключей центра сертификации

  1. На компьютере центра сертификации откройте окно командной строки и введите следующую команду:

    certutil -setreg ca\UseDefinedCACertInRequest 1 
    
  2. Нажмите клавишу ВВОД.

  3. Перезапустите службу центра сертификации.

При использовании центра сертификации на базе Windows Server 2003 сертификаты подписи ответов OCSP невозможно обновить после обновления сертификата центра сертификации. Чтобы преодолеть данное ограничение, выпустите в центре сертификации на базе Windows 2003 по n сертификатов подписи OCSP для каждого компьютера сетевого ответчика, где n = (количество недель до окончания срока действия ключа центра сертификации)/2.

noteПримечание
Эти действия необходимо выполнить до обновления сертификата центра сертификации.

Срок действия каждого из выпущенных сертификатов должен быть на две недели больше, чем у предыдущего. Ниже приведены примеры.

  • Сертификат подписи 1: действителен с настоящего момента до настоящего момента + 2 недели

  • Сертификат подписи 2: действителен с настоящего момента до настоящего момента + 4 недели

  • Сертификат подписи 3: действителен с настоящего момента до настоящего момента + 6 недель

Служба сетевого ответчика будет выбирать первым сертификат подписи с более коротким сроком действия и будет использовать его до окончания срока действия.

Подача заявки на сертификат подписи ответов OCSP в автономный центр сертификации

Поскольку автономные центры сертификации не поддерживают шаблоны сертификатов версии 2 или версии 3, которые требуются для создания сертификата подписи ответов OCSP, запрос сертификата подписи ответов OCSP необходимо создавать и подавать вручную. Для подачи заявки на сертификат подписи ответов OCSP в автономный центр сертификации выполните описанные ниже действия.

Подача заявки на сертификат подписи ответов OCSP в автономный центр сертификации

  1. В меню Пуск последовательно выделите пункты Все программы и Стандартные, затем выберите команду Блокнот.

  2. Скопируйте и вставьте в окно блокнота следующий текст запроса:

    [NewRequest] Subject = "CN=testca,O=Contoso,OU=nt" PrivateKeyArchive = FALSE Exportable = TRUE UserProtected = FALSE MachineKeySet = TRUE ProviderName = "Microsoft Enhanced Cryptographic Provider v1.0" UseExistingKeySet = FALSE RequestType = PKCS10 [EnhancedKeyUsageExtension] object identifer="1.3.6.1.5.5.7.3.9" [Extensions] 1.3.6.1.5.5.7.48.1.5 = Empty
    
  3. Сохраните файл под именем ocsp.inf.

  4. Закройте Блокнот.

  5. В командной строке введите следующую команду:

    certreq.exe –New ocsp.inf ocsp.req certreq.exe –Submit ocsp.req ocsp.cer certreq.exe –Accept ocsp.cer
    

После завершения процесса подачи заявки необходимо изменить список управления доступом к закрытому ключу так, чтобы разрешить службе сетевого ответчика доступ к закрытому ключу. Описание действий, необходимых для настройки разрешений для закрытого ключа, см. в разделе Настройка шаблонов сертификатов подписи ответов OCSP.

Использование аппаратного модуля безопасности (HSM) для защиты ключей подписи OCSP

В случае использования аппаратного модуля безопасности (или смарт-карты) для защиты ключей подписи OCSP необходимо выполнить описанные ниже действия по настройке.

Изменение учетных данных службы сетевого ответчика

По умолчанию служба сетевого ответчика использует учетные данные сетевой службы. Чтобы сетевой ответчик мог взаимодействовать с аппаратным модулем безопасности, необходимо установить для учетных данных службы значение "Локальная система". Для настройки учетных данных службы сетевого ответчика выполните описанные ниже действия.

Настройка учетных данных службы сетевого ответчика

  1. Откройте оснастку "Службы".

  2. Щелкните правой кнопкой мыши службу Сетевой ответчик и выберите команду Свойства.

  3. Откройте вкладку Вход.

  4. Выберите учетную запись Локальная система.

  5. Установите флажок Разрешить взаимодействие с рабочим столом и нажмите кнопку ОК.

Настройка шаблонов сертификатов подписи ответов OCSP

При использовании аппаратного модуля безопасности для защиты ключей подписи OCSP также необходимо настроить шаблон сертификата подписи ответов OCSP на использование поставщика служб шифрования (CSP) CryptoAPI или поставщика следующего поколения шифрования (CNG) аппаратного модуля безопасности. Если доступен только поставщик служб шифрования CryptoAPI, необходимо скопировать шаблон подписи ответов OCSP версии 3 и создать шаблон версии 2, который поддерживает CSP CryptoAPI. Описание действий, необходимых для создания шаблона версии 2, см. в подразделе "Настройка шаблона сертификата подписи ответов OCSP при использовании центра сертификации на базе Windows Server 2003" раздела Настройка шаблонов сертификатов подписи ответов OCSP.

Настройка сетевого ответчика

Независимо от того, развернут ли сетевой ответчик на одном компьютере, в кластеризованном массиве или в нескольких кластеризованных массивах, средства управления сетевым ответчиком обеспечивают единый интерфейс наблюдения и настройки развернутой системы сетевого ответчика.

Среди средств управления, устанавливаемых на все версии Windows Server 2008 по умолчанию, есть оснастка "Сетевой ответчик" (рисунок 16), которая обеспечивает все необходимые функции управления сетевым ответчиком.

Рис. 16. Оснастка "Сетевой ответчик"

Оснастка сетевого ответчика

Дерево консоли сетевого ответчика имеет три представления.

  • Online Responder (сетевой ответчик). В этом представлении собраны общие сведения о состоянии конфигурации сетевого ответчика, в нем также можно редактировать свойства сетевого ответчика.

  • Revocation Configuration (конфигурация отзыва). В этом представлении можно добавлять, изменять и удалять конфигурации отзыва. Дополнительные сведения о конфигурациях отзыва см. в разделе Управление конфигурациями отзыва.

  • Array Configuration (конфигурация массива). В этом представлении можно настраивать, контролировать и устранять неполадки членов массивов сетевых ответчиков. Дополнительные сведения о конфигурациях массивов см. в разделе Управление членами массивов.

Настройка свойств сетевого ответчика

У сетевого ответчика есть набор настраиваемых свойств, которые применяются ко всей системе сетевого ответчика и влияют на работу данной службы.

Чтобы открыть диалоговое окно Сетевой ответчик, в меню Действие выберите команду Свойства ответчика или щелкните в области Действия ссылку Свойства ответчика.

Параметры веб-прокси

Кэш веб-прокси сетевого ответчика реализован в службах IIS в качестве расширения ISAPI. Для настройки доступны следующие параметры (рисунок 17).

  • Потоки веб-прокси. Этот параметр определяет количество потоков, которое будет выделено расширением ISAPI сетевого ответчика для обработки запросов. Увеличение количества потоков повышает использование памяти сервера, а снижение числа потоков снижает число одновременно обслуживаемых клиентов. Минимальное количество потоков равно пяти.

  • Разрешено записей кэша. Кэш реализован как часть расширения ISAPI сетевого ответчика и находится только в оперативной памяти. Рекомендуемый размер кэша составляет от 1000 до 10 000 записей. При небольшом размере кэша возникает больше ошибок кэша, что приводит к повышению загрузки службы "Сетевой ответчик" при операциях поиска и подписывания. При большом размере кэша увеличивается объем используемой памяти сетевого ответчика. Если для подписывания ответов используется сертификат центра сертификации, размер записей кэша в памяти составляет около 200 байт. Если для подписывания ответов используется специальный сертификат подписи, размер записей кэша в памяти составляет около 2 КБ (если размер ключа составляет 1024 байта).

Рис. 17. Параметры веб-прокси

Свойства ответчика
Параметры аудита

Чтобы обеспечить соответствие требованиям стандарта Common Criteria для защищенных систем выдачи сертификатов, а также чтобы обеспечить защиту платформы, определенные события и параметры конфигурации сохраняются в журнал событий безопасности Windows. Для сетевого ответчика можно настраивать следующие события аудита (рисунок 18).

  • Запуск или остановка службы сетевого ответчика. В журнал заносятся все события запуска и остановки службы сетевого ответчика.

  • Изменения конфигурации сетевого ответчика. В журнал заносятся все изменения конфигурации сетевого ответчика, включая изменение параметров аудита.

  • Изменения параметров безопасности сетевого ответчика. В журнал заносятся все изменения списка управления доступом к интерфейсам запросов и управления службы сетевого ответчика.

  • Запросы, отправляемые сетевому ответчику. В журнал заносятся все запросы, обработанные службой сетевого ответчика. Этот параметр может создавать высокую нагрузку на службу. Его следует применять в особых случаях. Обратите внимание на то, что события аудита создают только запросы, требующие подписывания сетевым ответчиком. Запросы, ответы на которые были предварительно кэшированы, в журнале событий не регистрируются.

Рис. 18. Параметры аудита

Свойства аудита ответчика

События аудита будут регистрироваться в журнале безопасности Windows только в том случае, если включена политика Аудит доступа к объектам.

Включение политики аудита доступа к объектам

  1. Откройте редактор локальной групповой политики.

  2. Разверните узлы Конфигурация компьютера, Конфигурация Windows, Параметры безопасности и Локальные политики, а затем щелкните пункт Политика аудита.

  3. Дважды щелкните политику Аудит доступа к объектам.

  4. Установите флажки Успешно завершено и Сбой, а затем нажмите кнопку ОК.

Параметры безопасности

Параметры безопасности для сетевого ответчика состоят из двух записей разрешений, которые можно настраивать, разрешая или запрещая пользователям и службам доступ к интерфейсам запросов и администрирования.

  • Управление сетевым ответчиком. Сетевой ответчик оснащен интерфейсом управления (IOCSPAdmin), который обеспечивает возможность выполнения таких задач администрирования, как создание конфигураций отзыва и управление ими, а также изменение глобальных параметров сетевого ответчика.

  • Запросы прокси. Сетевой ответчик оснащен интерфейсом для запросов (IOCSPRequestD), который позволяет компоненту веб-прокси сетевого ответчика передавать службе сетевого ответчика запросы о состоянии сертификатов. Приложения, передающие запрос OCSP, этот интерфейс не используют.

Управление конфигурациями отзыва

Конфигурация отзыва состоит из набора определений, которые позволяют сетевому ответчику предоставлять подписанный ответ OCSP. В число этих определений входит сертификат центра сертификации, сертификат подписи и источник сведений об отзыве. Каждая конфигурация отзыва обслуживает запросы для определенной пары ключей и сертификата центра сертификации. Применяются следующие правила:

  • для каждого центра сертификации, который настроен на включение в выдаваемые сертификаты AIA-расширения с адресом сетевого ответчика, необходимо создавать отдельную конфигурацию отзыва;

  • для каждого центра сертификации, у которого обновляется пара ключей, необходимо создавать отдельную конфигурацию отзыва;

в представлении "Конфигурация отзыва" можно добавлять, изменять и удалять конфигурации отзыва.

Создание конфигурации отзыва

В данном разделе рассмотрен процесс создания, изменения и удаления конфигураций отзыва.

Создание конфигурации отзыва

  1. В меню Действие или в области Действия выберите пункт Добавить конфигурацию отзыва.

    Откроется окно мастера добавления конфигурации отзыва.

  2. Нажмите кнопку Далее.

  3. В поле Имя на странице Имя конфигурации отзыва введите понятное имя для конфигурации отзыва (которое поможет отличать данную конфигурацию отзыва от других) и нажмите кнопку Далее.

  4. На странице Выберите расположение сертификата ЦС выберите расположение сертификата центра сертификации, для которого с использованием данной конфигурации отзыва предоставляются ответы о состоянии сертификатов.

    Чтобы сетевой ответчик мог проверить состояние сертификата, в конфигурации отзыва должен быть указан центр сертификации, выдавший сертификат подписи. Доступны следующие варианты:

    Рис. 19. Выбор расположения сертификата центра сертификации

    Добавление конфигурации отзыва

    Выберите сертификат для существующего ЦС предприятия. Этот вариант позволяет выбрать сертификат центра сертификации среди доступных сертификатов, опубликованных в доменных службах Active Directory или посредством прямого запроса сертификата в центре сертификации. Если при выполнении действия 4 выбрать данный вариант, мастер предложит пользователю выбрать сертификат центра сертификации посредством просмотра ЦС, опубликованных в доменных службах Active Directory, или просмотра имен компьютеров ЦС (рисунок 20). После определения сертификата центра сертификации можно проверить его сведения, щелкнув ссылку Просмотр выбранного сертификата центра сертификации на странице мастера.

    Рис. 20. Выбор сертификата центра сертификации

    Добавление конфигурации отзыва — выбор ЦС

    Выбрать сертификат в локальном хранилище сертификатов. Этот вариант позволяет выбрать сертификат центра сертификации в хранилище сертификатов на текущем компьютере. Если при выполнении действия 4 выбрать данный вариант, мастер предложит пользователю выбрать сертификат центра сертификации посредством просмотра локального хранилища сертификатов.

    Импорт сертификата из файла. Этот вариант позволяет выбрать сертификат с расширением CER. Если при выполнении действия 4 выбрать данный вариант, мастер предложит пользователю выбрать сертификат центра сертификации посредством выбора файла сертификата с расширением CER в файловой системе.

  5. На странице Выбор сертификата подписи (рисунок 21) для каждой конфигурации отзыва необходимо указать сертификат подписи. Доступны следующие варианты:

    Автоматически выбрать сертификат подписи. Если выбрать данный вариант, сетевой ответчик автоматически выполнит поиск сертификата, соответствующего описанным ниже требованиям, в хранилище личных сертификатов компьютера, на котором находится сетевой ответчик.

    • У сертификата есть поле расширенного использования ключа подписи OCSP.

    • Сертификат выпущен центром сертификации, выбранным при выполнении действия 4.

    • Сертификат действителен.

    • Сертификат имеет соответствующий закрытый ключ.

    Если доступно более одного сертификата подписи, выбирается тот, у которого срок действия меньше.

    Флажок Автозаявка на сертификат подписи OCSP позволяет настроить сетевой ответчик на автоматическую подачу заявки и обновление сертификатов подписи ответов OCSP для указанной конфигурации отзыва. Если центр сертификации, выбранный при выполнении действия 4, настроен на выпуск шаблонов подписи ответов OCSP, то будет установлен этот флажок, и поля Центр сертификации и Шаблон сертификата будут заполнены автоматически. В противном случае флажок Автозаявка на сертификат подписи OCSP не устанавливается.

    noteПримечание
    Когда функции автоматической заявки сетевым ответчиком включены, полученные сертификаты будут сохраняться в хранилище сертификатов для службы сетевого ответчика, а не в хранилище сертификатов локального компьютера. Текущую конфигурацию сертификата подписи можно просмотреть с помощью описанной ниже процедуры.

    Чтобы просмотреть текущую конфигурацию сертификата подписи, выполните указанные ниже действия.

    1. Откройте оснастку "Сертификаты".

    2. Выберите пункт Учетная запись службы и нажмите кнопку Далее.

    3. Выберите пункт Локальный компьютер и нажмите кнопку Далее.

    4. В списке доступных служб выберите службу сетевого ответчика и нажмите кнопку Готово.

    5. Сертификат подписи для текущей конфигурации можно найти в хранилище с именем OCSPSVC\<имя конфигурации>.

    Выбрать сертификат подписи вручную. Если выбрать данный вариант, сетевой ответчик не будет назначать конфигурации отзыва сертификат подписи. После завершения работы мастера и создания конфигурации отзыва необходимо вручную выбрать сертификат подписи для каждого из членов массива сетевого ответчика. До выполнения данной операции конфигурация отзыва работать не будет.

    Использовать сертификат ЦС для конфигурации отзыва. Если выбрать данный вариант, сетевой ответчик будет использовать в качестве сертификата подписи сертификат центра сертификации, выбранный при выполнении действия 4. Этот параметр доступен только в случае, если сетевой ответчик установлен на компьютере с центром сертификации.

    Рис. 21. Выбор сертификата подписи

    Добавление точки распространения списка отзыва сертификатов
  6. Выбрав сертификат подписи, нажмите кнопку Далее.

  7. На странице Поставщик отзыва нажмите кнопку Поставщик.

    Для настройки поставщика сведений об отзыве требуются дополнительные сведения. Поставщик сведений об отзыве можно настроить в диалоговом окне Свойства поставщика отзыва, выбрав для конфигурации отзыва базовые и разностные списки отзыва сертификатов. Сетевой ответчик будет использовать эти сведения для получения и кэширования базовых и разностных списков отзыва сертификатов, которые будут использоваться для предоставления ответов о состоянии сертификатов. В некоторых случаях сведения о расположении списков отзыва сертификатов будут заполняться на основании данных доменных служб Active Directory. По умолчанию поставщик сведений об отзыве будет получать новые и разностные списки отзыва сертификатов с учетом срока действия, указанного в этих списках. Интервал обновления можно установить вручную, введя для него определенное значение. Минимальное значение интервала составляет 5 минут.

    Если центр сертификации настроен на выпуск разностных списков отзыва сертификатов, поставщик сведений об отзыве будет использовать URL-адрес, указанный в списке Базовые CRL, для извлечения базовых списков отзыва сертификатов, а для извлечения разностных списков отзыва сертификатов будут использоваться сведения, включаемые в сами базовые CRL. Список Разностные CRL следует использовать только в том случае, если необходимо, чтобы поставщик сведений об отзыве извлекал разностные списки отзыва сертификатов из местоположения, отличного от указанного в базовом списке отзыва сертификатов.

    Рис. 22. Свойства поставщика отзыва

    Свойства поставщика отзыва
  8. Чтобы закрыть диалоговое окно Свойства поставщика отзыва, нажмите кнопку ОК.

  9. Чтобы создать конфигурацию отзыва, нажмите кнопку Готово.

noteПримечание
Прежде чем извлекать действующие базовые и разностные списки отзыва сертификатов из сети, поставщик сведений об отзыве всегда будет искать их на локальном компьютере. Если сетевой ответчик установлен на одном компьютере с центром сертификации, то значения, настроенные в поставщике сведений об отзыве, игнорируются.

Изменение конфигурации отзыва

После создания конфигурации отзыва ее можно изменить. Чтобы это сделать, необходимо в представлении "Конфигурации отзыва" выбрать конфигурацию отзыва для редактирования, а затем щелкнуть пункт Изменить свойства в меню Действие или в области Действия.

Локальный список CRL. На вкладке Локальный список CRL можно вручную управлять отозванными сертификатами для конфигурации отзыва. При использовании данной возможности сетевой ответчик помимо списка отзыва сертификатов центра сертификации и разностного списка отзыва сертификатов управляет локальным списком отозванных сертификатов. Эта функция используется в случае, когда центр сертификации не отвечает и не имеет возможности публикации списка отзыва сертификатов или когда сетевой ответчик не может получить список отзыва сертификатов. Локальные сведения об отзыве замещают сведения из списка отзыва сертификатов, публикуемого центром сертификации. Например, если сертификат указан в локальном списке отзыва сертификатов как отозванный, но отсутствует в списке отзыва сертификатов, публикуемом центром сертификации, сетевой ответчик будет выдавать ответ, в котором указанный сертификат отозван.

Чтобы добавить сертификат в список Локальные отозванные сертификаты, сначала необходимо установить флажок Включить локальный CRL, а затем нажать кнопку Добавить. В диалоговое окно Сведения об отозванном сертификате (рисунок 23) необходимо ввести серийный номер сертификата, причину отзыва и дату, с которой сертификат будет считаться отозванным.

Рис. 23. Диалоговое окно "Сведения об отозванном сертификате"

Подробные сведения об отозванном сертификате

Поставщик отзыва. На вкладке Поставщик отзыва для выбранной конфигурации отзыва можно перенастроить поставщик сведений об отзыве. Если щелкнуть кнопку Поставщик, то отобразится такое же диалоговое окно, как и в мастере создания конфигурации отзыва.

Подписи. На вкладке Подписи (рисунок 24) можно настроить следующие параметры подписывания ответов.

  • Алгоритм хеширования. Алгоритм хеширования, используемый при подписывании ответов.

  • Не запрашивать учетные данные для криптографических операций. Если ключ подписи защищен дополнительным паролем, выбор этого параметра означает, что сетевой ответчик не будет запрашивать этот пароль у пользователя, а запрос будет завершаться сбоем без предупреждения. Необходимо понимать важность данного параметра при использовании аппаратных модулей безопасности для хранения ключа подписи OCSP. Если используется аппаратный модуль безопасности, и данный флажок установлен, то CryptoAPI не отображает диалоговое окно ввода ПИН-кода для доступа к закрытому ключу, а операция подписывания завершается ошибкой. Если данный флажок не установлен, диалоговое окно ввода ПИН-кода будет отображено при первой загрузке конфигурации. Это может произойти при запуске службы или при первой загрузке конфигурации отзыва.

noteПримечание
Не выбирайте этот параметр, если для защиты закрытых ключей используется аппаратный модуль безопасности.

  • Автоматически использовать обновленные сертификаты подписи. Данный параметр предписывает сетевому ответчику использовать обновленные сертификаты подписи автоматически, не запрашивая их назначение вручную у администратора сетевого ответчика.

  • Разрешить запросы Nonce. Этот параметр предписывает сетевому ответчику проверять и обрабатывать расширение Nonce запроса OCSP. Если в запросе OCSP присутствует расширение Nonce и этот параметр включен, сетевой ответчик будет игнорировать любые кэшированные ответы OCSP и создаст новый ответ, включающий Nonce из запроса. Если этот параметр отключен и получен запрос с расширением Nonce, сетевой ответчик отклонит этот запрос с ошибкой "несанкционированный".

noteПримечание
Клиент OCSP (Майкрософт) не поддерживает расширение Nonce.

noteПримечание
Если в запрос включено некритическое расширение, сетевой ответчик игнорирует это расширение и выдает ответ. Если в запрос включено критическое расширение, сетевой ответчик отклоняет запрос с ошибкой "несанкционированный".

  • Использовать любой действительный сертификат подписи OCSP. По умолчанию сетевой ответчик использует только сертификаты подписи, выданные тем же центром сертификации, который выдал проверяемый сертификат. Этот параметр позволяет изменить поведение по умолчанию и предписывает сетевому ответчику использовать любой действительный сертификат, содержащий поле расширенного использования ключа для подписывания OCSP.

noteПримечание
Windows Vista не поддерживает данную модель развертывания и при выборе данного параметра выдаст ошибку.

  • Идентификаторы сетевых ответчиков. С помощью этого параметра можно выбрать режим включения хеша ключа или субъекта сертификата подписи в ответ. Наличия данного параметра требует документ RFC 2560.

Рис. 24. Диалоговое окно "Конфигурация отзыва", вкладка "Подписи"

Свойства конфигурации отзыва

Управление членами массивов

Понятие "Массив" введено с целью управления глобальными параметрами и конфигурациями отзыва на нескольких компьютерах с сетевыми ответчиками. Массив определяется как один или несколько компьютеров, на которые установлена служба сетевого ответчика, логически сгруппированные и управляемые через оснастку "Сетевой ответчик". У всех компьютеров, которые входят в состав массива, будут одинаковые глобальные параметры и одинаковые конфигурации отзыва. Для каждого массива один из членов назначается контроллером массива. Роль контроллера массива помогает устранять конфликты синхронизации и применять обновленные сведения конфигураций отзыва ко всем членам массивов.

При первом открытии оснастки "Сетевой ответчик" можно видеть, что в дереве консоли уже существует один член массива. Этот член является контроллером массива, которым по умолчанию является локальный компьютер.

Добавление членов массивов

Добавление членов массива

  1. В дереве консоли разверните узел Конфигурация массива.

  2. В меню Действие или в области Действия выберите пункт Добавить элемент массива.

  3. В диалоговом окне Выбор компьютера найдите компьютер с сетевым ответчиком, который необходимо добавить в массив, или введите различающееся имя компьютера и нажмите кнопку ОК.

После добавления нового сетевого ответчика в массив оснастка "Сетевой ответчик" автоматически синхронизирует глобальные параметры и существующие конфигурации отзыва.

Отслеживание членов массивов и управление ими

Все члены массива можно отслеживать по отдельности и управлять ими независимо друг от друга. Если щелкнуть узел определенного члена массива, отобразится представление "Член массива", в котором содержатся сведения состояния каждой из конфигураций отзыва, а также некоторые параметры конфигурации.

Для лучшего определения состояния членов массива в дереве консоли отображаются следующие коды состояния.

  • Контроллер массива – нормальное состояние.

  • Контроллер массива – критическое состояние.

  • Контроллер массива – состояние неизвестно.

  • Контроллер массива – состояние предупреждения.

  • Член массива – нормальное состояние.

  • Член массива – критическое состояние.

  • Член массива – состояние неизвестно.

  • Член массива – состояние предупреждения.

Назначить сертификат подписи вручную можно с помощью представления членов.

Назначение сертификата подписи вручную

  1. Выберите узел члена массива.

  2. Выберите конфигурацию отзыва, которой будет назначен сертификат подписи.

  3. В меню Действие или в области Действия выберите пункт Назначить сертификат подписи.

  4. Выберите сертификат подписи в списке доступных сертификатов подписи и нажмите кнопку ОК.

noteПримечание
Операцию назначения сертификата подписи необходимо использовать только в том случае, если при создании конфигурации отзыва был выбран параметр Выбрать сертификат подписи вручную.

Включение удаленного управления

Сетевым ответчиком можно управлять с другого компьютера, на котором установлена оснастка "Сетевой ответчик". Чтобы включить удаленное управление, необходимо настроить правила брандмауэра.

Включение удаленного управления

  1. Откройте оснастку "Брандмауэр Windows в режиме повышенной безопасности".

  2. Выберите пункт Правила входящих.

    Оснастка "Брандмауэр Windows в режиме повышенной безопасности"
  3. В области сведений щелкните правой кнопкой мыши правило Служба сетевого ответчика (DCOM – Входящий) и выберите команду Включить правило.

  4. В области сведений щелкните правой кнопкой мыши правило Служба сетевого ответчика (RPC – Входящий) и выберите команду Включить правило.

  5. Закройте оснастку "Брандмауэр Windows в режиме повышенной безопасности".

Планирование обновления сертификата центра сертификации

Как указано в разделе "Создание конфигураций отзыва", конфигурация отзыва привязана к определенной паре ключей центра сертификации. Поэтому обновление центра сертификации влияет на конфигурацию сетевого ответчика и текущее обслуживание.

При создании конфигурации отзыва код ключа сертификата центра сертификации сохраняется в виде идентификатора конфигурации отзыва и служит для определения конфигурации отзыва, которую необходимо использовать для обслуживания входящих запросов OCSP.

Общие сведения о связи конфигурации отзыва и сертификата центра сертификации

Когда сертификат центра сертификации обновляется с использованием прежней пары ключей, существующая конфигурация отзыва, созданная для определенного центра сертификации, будет действовать, и дополнительная настройка не потребуется. Когда центр сертификации обновляется с использованием новой пары ключей, существующая конфигурация отзыва останется действительной для обновленной, но действительной пары ключей. При этом для новой пары ключей центра сертификации необходимо будет создать конфигурацию отзыва. В настоящее время способ автоматического копирования существующей конфигурации отзыва отсутствует, и администратор сетевого ответчика должен создавать такую конфигурацию отзыва вручную.

Создание конфигурации отзыва для обновленного центра сертификации

В некоторых ситуациях может потребоваться создание конфигурации отзыва для старого, но все еще действительного сертификата и пары ключей центра сертификации. В этом случае сертификат центра сертификации необходимо будет выбрать в локальном хранилище компьютера или вручную экспортировать из центра сертификации в виде CER-файла, а затем выбрать его в мастере создания конфигурации отзыва.

Резервное копирование и восстановление сетевого ответчика

Резервное копирование конфигурации отзыва и ключей подписи сетевого ответчика имеет большое значение для стабильной работы сетевого ответчика.

  • Конфигурация отзыва. Хотя конфигурации отзыва можно воспроизводить, при внесении в них изменений рекомендуется делать резервную копию сетевого ответчика.

  • Ключи подписи. Поскольку в случае повреждения или другого сбоя ключи подписи можно перевыпустить, их резервную копию следует создавать только в случае недоступности ключа выпускающего центра сертификации. Из-за ограничений, описанных в разделе "Обновление сертификатов подписи ответов OCSP", при использовании центра сертификации на базе Windows Server 2003, Enterprise Edition следует создавать резервные копии ключей подписи OCSP, выдаваемых сетевым ответчикам.

Поскольку средства администрирования сетевых ответчиков могут синхронизировать конфигурации отзыва с контроллера массива на члены массива, операции резервного копирования необходимо выполнять только на контроллере массива сетевых ответчиков, на котором хранятся самые новые сведения конфигурации отзыва. Чтобы создать резервную копию конфигурации отзыва сетевого ответчика, необходимо выполнить полное резервное копирование состояния системы.

Извлечение только конфигураций отзыва

  1. Переключитесь на компьютер контроллера массива.

  2. Откройте редактор реестра (regedit.exe).

  3. Перейдите к следующему кусту реестра:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder

  4. Правой кнопкой мыши щелкните куст реестра и выберите команду Экспорт.

  5. Сохраните сведения в REG-файл и сохраните его в качестве резервной копии.

Как описано в разделе "Обновление сертификатов подписи ответов OCSP", резервное копирование ключей подписи OCSP требуется только в случае использования сетевого ответчика с центром сертификации на базе Windows Server 2003. Поскольку ключи подписи OCSP являются уникальными для каждой конфигурации отзыва каждого из компьютеров сетевого ответчика, для всех таких компьютеров необходимо сделать резервную копию всех доступных ключей подписи.

Чтобы создать резервную копию ключей подписи сетевого ответчика, необходимо выполнить полное резервное копирование состояния системы.

Перенос сетевого ответчика

В некоторых случаях может потребоваться перенос существующего члена массива сетевых ответчиков на новый компьютер. Как описано в разделе "Резервное копирование и восстановление", поскольку средства администрирования сетевого ответчика могут автоматически синхронизировать конфигурацию отзыва с контроллера массива на члены массива, задача переноса компьютера упрощается.

Перенос существующего члена массива сетевых ответчиков на новый компьютер

  1. Если для переносящегося члена массива не включена поддержка автозаявки, выполните резервное копирование ключей подписи OCSP с помощью оснастки диспетчера сертификатов.

  2. Чтобы сохранить старое имя для переносимого члена массива, выполните указанные ниже действия.

    а. Удалите член массива из массива с помощью оснастки "Сетевой ответчик".

    б. В пункте Свойства системы удалите член массива из домена.

  3. Установите новый член массива и присоедините компьютер к домену.

  4. При необходимости импортируйте скопированные ранее ключи подписи в хранилище компьютера с помощью оснастки диспетчера сертификатов.

  5. С помощью оснастки "Сетевой ответчик" добавьте новый член массива и выберите новый компьютер.

Устранение неполадок сетевого ответчика

Устранение неполадок сетевого ответчика можно разделить на две подкатегории.

  • Проблемы службы сетевого ответчика. Проблемы в данной категории включают проблемы запросов и ответов и конфигурации поставщика сведений об отзыве.

  • Проблемы средств сетевого ответчика. Проблемы в данной категории включают проблемы с оснасткой "Сетевой ответчик" и синхронизацией конфигурации отзыва.

Проблемы службы сетевого ответчика

noteПримечание
Для устранения неполадок в ситуациях, когда отсутствуют ошибки или предупреждения журнала событий, а оснастка "Сетевой ответчик" не сообщает о проблемах, дополнительные сведения для диагностики можно найти в журнале службы сетевого ответчика. Журнал службы находится по следующему адресу: системный_диск\Windows\ServiceProfiles\networkservice\ocspsvc.log

Перечисленные ниже события относятся к состоянию службы сетевого ответчика (ocspsvc.exe) и отображаются в средстве "Просмотр событий" компьютера.

Событие 0xC25A0014 – Служба сетевого ответчика не была запущена: %1. (Сообщение об ошибке.)

Код события 20

Имя события MSG_E_GENERIC_STARTUP_FAILURE

Источник события OnlineResponder или OCSPSvc

Описание Служба сетевого ответчика (ocspsvc.exe) не запустилась. В большинстве случаев причина будет включена в сообщение события вместо аргумента %1.

Диагностика Ошибка инициализации службы может быть вызвана следующими причинами:

  • повреждение данных реестра;

  • отсутствие системных ресурсов.

Устранение

  1. Если сведений в описании ошибки недостаточно для ее устранения, сначала попробуйте перезапустить службу сетевого ответчика из оснастки "Службы" (services.msc). Если запустить службу сетевого ответчика не удается, проверьте журнал событий на наличие других ошибок, которые могут быть связаны с этой проблемой.

  2. Если повреждены данные реестра, необходимо удалить и переустановить службу сетевого ответчика с помощью Диспетчер серверов.

  3. Если для запуска службы сетевого ответчика недостаточно системных ресурсов, попробуйте перезагрузить компьютер или освободить системные ресурсы.

Событие 0xC25A0015 – %1(идентификатор_файла): Служба сетевого ответчика обнаружила исключение по адресу %2. Флаги = %3. Исключение – %4 (код_ошибки).

Код события 21

Имя события MSG_E_EXCEPTION

Источник события OnlineResponder или OCSPSvc

Описание Данное событие указывает на внутреннюю проблему службы сетевого ответчика. Сообщите о данной проблеме в службу поддержки клиентов корпорации Майкрософт.

Диагностика Нет

Устранение Нет

Событие 0xC25A0016 – The Online Responder Service did not process a request from %1. The request was very long, which can be caused by a denial-of-service attack (служба сетевого ответчика не обработала запрос от %1. Слишком большая длина запроса, что может быть вызвано атакой "отказ в обслуживании"). Если запрос был отклонен по ошибке, измените для службы свойство MaxIncomingMessageSize. Если подробное ведение журнала не включено, эта ошибка не будет повторно регистрироваться в течение 20 минут.

Код события 22

Имя события MSG_E_POSSIBLE_DENIAL_OF_SERVICE_ATTACK

Источник события OnlineResponder или OCSPSvc

Описание Нет

Диагностика Нет

Устранение Рекомендуется определить происхождение запроса, поскольку этот тип события может указывать на действия злоумышленника или вредоносной программы, которая пытается скомпрометировать сетевой ответчик.

Значение MaxIncomingMessageSize можно изменить, если создать значение реестра DWORD в кусте HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder и установить это значение в максимальное количество байт, которое должен обрабатывать сетевой ответчик.

Событие 0xC25A0017 – The Online Responder Service could not locate a signing certificate for configuration %1(CAConfigurationID).(%2) (Error Message) (Службе сетевого ответчика не удается найти сертификат подписи для конфигурации %1 (код конфигурации центра сертификации).(%2) (сообщение об ошибке)).

Код события 23

Имя события MSG_E_CACONFIG_MISSING_SIGNINGCERT

Источник события OnlineResponder или OCSPSvc

Описание Данное событие возникает, когда служба сетевого ответчика сталкивается с проблемой нахождения или загрузки сертификата подписи определенной конфигурации.

Диагностика Это событие может быть вызвано перечисленными ниже причинами.

  • Сертификат подписи ответов OCSP отсутствует в хранилище личных сертификатов компьютера.

    В случае конфигураций с автоподачей заявки на сертификат, когда служба сетевого ответчика самостоятельно подает заявку на сертификат, это указывает на возможную проблему подачи заявки или установки сертификата подписи. Проверьте журнал событий на наличие других ошибок или предупреждений, которые могут быть связаны с данной ошибкой. Затем проверьте состояние сертификата подписи ответов OCSP.

noteПримечание
Если в конфигурации отзыва задана автоматическая подача заявок на сертификат подписи ответов OCSP, сертификат подписи находится в хранилище сертификатов учетной записи службы сетевого ответчика. Чтобы его просмотреть, откройте консоль управления и добавьте для "Учетной записи службы" на компьютере сетевого ответчика оснастку диспетчера сертификатов, выбрав учетную запись "Служба сетевого ответчика". Сертификат будет находиться в хранилище сертификатов в узле, помеченном именем конфигурации отзыва.

Если в конфигурации отзыва задана подача заявок на сертификат подписи ответов OCSP и его обновление вручную, выберите сертификат подписи в личном хранилище сертификатов на компьютере сетевого ответчика. Откройте оснастку диспетчера сертификатов для компьютера и найдите сертификат подписи в хранилище личных сертификатов.

Устранение

  1. Если сертификат подписи ответов OCSP отсутствует в личном хранилище сертификатов локального компьютера и отзыв настроен на подачу заявки для этого сертификата вручную, заявку на сертификат следует подать вручную.

  2. Для конфигураций, в которых служба сетевого ответчика подает заявку на сертификат самостоятельно, подача заявки вручную работать не будет, и в журнале событий необходимо проверить наличие других ошибок или предупреждений, которые относятся к ошибке подачи заявки, или установить сертификат подписи ответов OCSP. Если дополнительные сведения отсутствуют, проверьте выполнение указанных ниже условий.

    1. Проверьте, чтобы у компьютера, на котором работает служба сетевого ответчика, была связь с центром сертификации. Воспользуйтесь оснасткой центра сертификации на ЦС, чтобы убедиться, что центр сертификации настроен на выпуск сертификатов на основе шаблона сертификата подписи ответов OCSP.

    2. Воспользуйтесь оснасткой центра сертификации, чтобы убедиться, что на компьютере с сетевым ответчиком у шаблона подписи ответов OCSP есть разрешения на чтение и подачу заявки.

  3. Если действительный сертификат подписи ответов OCSP существует, проверьте наличие доступа службы сетевого ответчика к закрытому ключу. По умолчанию служба сетевого ответчика работает как сетевая служба, поэтому закрытый ключ в контексте данного пользователя должен быть доступен. Если закрытый ключ сертификата подписи ответов OCSP недоступен сетевой службе, для устранения проблемы выполните действия, описанные в подразделе "Подача заявки на сертификат подписи ответов OCSP" раздела Настройка шаблонов сертификатов подписи ответов OCSP.

  4. Если сертификат подписи ответов OCSP недействителен для целей подписывания, убедитесь в том, что выполняется подача заявки на сертификат с полем расширенного использования "id-kp-OCSPSigning" и меткой "Подписывание OCSP (1.3.6.1.5.5.7.3.9)".

Событие 0x825A0019 – The signing certificate for Online Responder configuration %1 will expire soon (у сертификата подписи для конфигурации сетевого ответчика %1 скоро истечет срок действия).

Код события 25

Имя события MSG_W_CACONFIG_SIGNINGCERT_EXPIRING

Источник события OnlineResponder или OCSPSvc

Описание Скоро истекает срок действия сертификата подписи для указанной конфигурации отзыва. В частности, если сетевой ответчик настроен так, что он может автоматически подавать заявку на сертификаты подписи, для сертификата наступил период, в который для него автоматически может быть подана заявка. Для конфигураций, в которых это делается вручную, данное сообщение указывает на начало периода срабатывания напоминаний об обновлении.

Диагностика Проверьте срок действия указанного сертификата.

Найдите сертификат подписи, как указано выше в описании для события 23 сетевого ответчика, и обратите внимание на поле Действителен по.

Если в конфигурации отзыва настроена автоматическая подача заявок на сертификаты подписи ответов OCSP, дополнительные действия могут не потребоваться. Проверьте срок действия сертификата, чтобы убедиться в наличии достаточного времени для проверки выполнения автоматической подачи заявки на сертификат.

Устранение Для конфигураций с выполнением действий вручную обновите сертификат подписи. Для этого щелкните сертификат правой кнопкой мыши и выберите команду Обновить сертификат с новым ключом, по которой будет запущен мастер обновления сертификатов.

noteПримечание
Длительность напоминания настраивается для ответчика глобально и выражается в процентах от срока действия сертификата. По умолчанию установлено значение 90%, однако данное значение можно изменить, если добавить раздел параметра с типом DWORD и именем ReminderDuration в раздел HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OcspSvc\Responder\%Revocation Configuration Name\

Чтобы указать новое значение в процентах, введите число от 1 до 100. Чтобы новое значение вступило в силу, необходимо остановить и запустить службу сетевого ответчика.

Событие 0x825A0019 – The signing certificate for Online Responder configuration %1 has expired (срок действия сертификата подписи для конфигурации сетевого ответчика %1 истек). OCSP-запросы для этой конфигурации будут отвергнуты.

Код события 26

Имя события MSG_E_CACONFIG_SIGNINGCERT_EXPIRED

Источник события OnlineResponder или OCSPSvc

Описание Истек срок действия сертификата подписи для указанной конфигурации.

Диагностика Проверьте срок действия указанного сертификата.

  • Если в конфигурации отзыва настроена автоматическая подача заявок на сертификаты подписи ответов OCSP, возможно, существует проблема с автоматической подачей заявок на новые сертификаты. Найдите сертификат подписи в хранилище сертификатов учетной записи службы сетевого ответчика, как указано выше в описании для события 23 сетевого ответчика. Если срок действия сертификата истек, проверьте в журнале событий наличие других ошибок или предупреждений, которые относятся к ошибке автоматической подачи заявок или установке сертификата подписи ответов OCSP. Если дополнительные сведения отсутствуют, проверьте выполнение указанных ниже условий.

    1. Проверьте, чтобы у компьютера, на котором работает служба сетевого ответчика, была связь с центром сертификации.

    2. Воспользуйтесь оснасткой центра сертификации на ЦС, чтобы проверить, что центр сертификации настроен на выпуск сертификатов на основе шаблона сертификата подписи ответов OCSP или копии этого шаблона.

    3. Воспользуйтесь оснасткой центра сертификации, чтобы убедиться, что на компьютере с сетевым ответчиком у шаблона подписи ответов OCSP есть разрешения на чтение и подачу заявки.

  • Если в конфигурации отзыва задана подача заявок на сертификат подписи ответов OCSP вручную, выберите сертификат подписи в личном хранилище сертификатов на компьютере сетевого ответчика, как указано выше в описании для события 23 сетевого ответчика.

Устранение

Если конфигурация отзыва настроена на подачу заявки на сертификат подписи OCSP вручную, и действительный обновленный сертификат подписи OCSP присутствует на компьютере сетевого ответчика, назначьте этот сертификат конфигурации отзыва, указанной в журнале событий, выполнив указанные ниже действия.

  1. В оснастке "Сетевой ответчик" щелкните правой кнопкой мыши пункт Array Configuration (конфигурация массива), а затем щелкните узел компьютера, на котором было зарегистрировано предупреждение.

  2. Щелкните конфигурацию отзыва, указанную в журнале событий, правой кнопкой мыши и выберите команду Assign Signing Certificate (назначить сертификат подписи).

  3. Выберите сертификат и нажмите кнопку ОК.

  4. Щелкните пункт Revocation Configuration (конфигурация отзыва), щелкните правой кнопкой мыши конфигурацию отзыва и выберите команду Edit Properties (изменить свойства). Откройте вкладку Signing (подписи).

    Если флажок Automatically use renewed signing certificates (автоматически использовать обновленные сертификаты подписи) не установлен, при каждом обновлении сертификата подписи необходимо будет вручную переназначать сертификат подписи конфигурации отзыва. Если выбрать данный параметр, назначение будет выполняться автоматически.

Если действующий обновленный сертификат подписи OCSP отсутствует в хранилище личных сертификатов локального компьютера, на котором было зарегистрировано предупреждение, подайте заявку на новый сертификат подписи, выполнив указанные ниже действия.

  1. Чтобы запустить мастер подачи заявок на сертификаты, щелкните правой кнопкой мыши хранилище личных сертификатов компьютера, выделите пункт Все задачи и выберите команду Запросить новый сертификат.

  2. Подайте заявку на сертификат на основе шаблона сертификата подписи ответов OCSP или копии этого шаблона.

    noteПримечание
    В поле расширенного использования ключа действующего сертификата подписи OCSP будет указано "Подписание OCSP (1.3.6.1.5.5.7.3.9)".

  3. Чтобы назначить новый сертификат конфигурации отзыва, воспользуйтесь действиями 1 – 4 предыдущей процедуры.

Событие 0x825A001B – The signing certificate for Online Responder configuration %1 was not updated.(%2) (Error Message) (Сертификат подписи для конфигурации сетевого ответчика %1 не был обновлен.(%2) (Сообщение об ошибке)).

Код события 27

Имя события MSG_W_CACONFIG_UPDATE_THREAD_FAILED

Источник события OnlineResponder или OCSPSvc

Описание Это событие может возникать в том случае, если служба сетевого ответчика не может обновить сертификат подписи при его обновлении.

Диагностика Это должно происходить только в том случае, когда в системе заканчиваются ресурсы.

Устранение Если для нормальной работы сетевого ответчика недостаточно системных ресурсов, попробуйте перезапустить службу сетевого ответчика, а затем перезагрузить компьютер или освободить системные ресурсы. Если ошибка возникает снова, обратитесь в службу поддержки клиентов корпорации Майкрософт.

Событие 0xC25A001D – Settings for Online Responder configuration %1 cannot be loaded. OCSP requests for this configuration will be rejected (%2) (Error Message) (Не удается загрузить параметры для конфигурации сетевого ответчика %1. OCSP-запросы для этой конфигурации будут отвергнуты.(%2) (Сообщение об ошибке)).

Код события 29

Имя события MSG_E_CACONFIG_FAILTOLOAD

Источник события OnlineResponder или OCSPSvc

Описание Это событие может возникать в случаях, когда конфигурация отзыва повреждена и не может быть загружена.

Диагностика Нет

Устранение Для устранения проблемы выполните указанные ниже действия.

  1. Попытайтесь удалить конфигурацию отзыва с помощью оснастки сетевого ответчика.

  2. Создайте указанную конфигурацию отзыва снова.

Если конфигурацию не удается загрузить с помощью оснастки сетевого ответчика, выполните указанные ниже действия.

  1. Перейдите к следующему кусту реестра: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder

  2. Найдите и удалите поврежденную конфигурацию отзыва.

noteПримечание
Если эта проблема возникла с членом массива, необходимо удалить поврежденную конфигурацию из массива, а затем синхронизировать массив для повторного создания конфигурации отзыва. При возникновении этой проблемы на контроллере массива временно назначьте контроллером массива другой компьютер, синхронизируйте массив, а затем снова назначьте контроллером массива исходный компьютер.

Событие 0x825A001F – Performance counters for the Online Responder Service cannot be initialized (не удается инициализировать счетчики производительности для службы сетевого ответчика).

Код события 31

Имя события MSG_W_PERF_COUNTER_INIT_ERROR

Источник события OnlineResponder или OCSPSvc

Описание Данное событие указывает на внутреннюю проблему службы сетевого ответчика.

Диагностика У компьютера, на котором находится сетевой ответчик, может быть недостаточно памяти.

Устранение Чтобы оценить использование памяти системой, откройте на компьютере с сетевым ответчиком окно консоли производительности Windows (Perfmon.msc). При необходимости устраните проблемы с ресурсами посредством добавления физической или виртуальной памяти или посредством настройки выделения памяти и использования жесткого диска.

Чтобы остановить и перезапустить службу сетевого ответчика, воспользуйтесь оснасткой "Сетевой ответчик".

Если ошибка возникает снова, сообщите о ней в службу поддержки клиентов корпорации Майкрософт.

Событие The Online Responder Service failed to create an enrollment request for the signing certificate template %2 for configuration %1 (%3) (Error Message) (Службе сетевого ответчика не удалось создать запрос подачи заявки по шаблону сертификата подписи %2 для конфигурации %1.(%3) (Сообщение об ошибке)).

Код события 33

Имя события MSG_E_CACONFIG_CREATE_ENROLLMENT_REQUEST_FAILED

Источник события OnlineResponder или OCSPSvc

Описание Служба сетевого ответчика попыталась подать заявку или повторную заявку на сертификат подписи, но при создании запроса сертификата возникла ошибка. Ошибка возникла до того, как запрос был передан в центр сертификации.

Диагностика Проверьте событие и сообщение об ошибке для имени шаблона сертификата, для которого была предпринята попытка запроса. Проверьте в журнале событий наличие других ошибок, возникших до или после данного события, из которых можно узнать дополнительные сведения.

Устранение Способ устранения будет зависеть от сообщения об ошибке и других занесенных в журнал ошибок и предупреждений.

Событие The Online Responder Service encountered an error while submitting the enrollment request for configuration %1 to certification authority %2. The request ID is %3 (%4) (Error Message) (Служба сетевого ответчика обнаружила ошибку при отправке запроса подачи заявки для конфигурации %1 центру сертификации %2. Код запроса – %3.(%4) (Сообщение об ошибке)).

Код события 34

Имя события MSG_E_CACONFIG_SUBMIT_ENROLLMENT_REQUEST_FAILED

Источник события OnlineResponder или OCSPSvc

Описание Служба сетевого ответчика попыталась подать заявку или повторную заявку на сертификат подписи, но при передаче запроса сертификата в центр сертификации возникла ошибка.

Диагностика В описании события должны содержаться дополнительные сведения о причине ошибки, включая сообщение об ошибке и неудачно переданный код запроса к центру сертификации, если последний был возвращен.

Проверьте, чтобы у компьютера, на котором работает служба сетевого ответчика, была связь с центром сертификации. Воспользуйтесь оснасткой центра сертификации на ЦС, чтобы убедиться, что центр сертификации настроен на выпуск сертификатов на основе шаблона сертификата подписи ответов OCSP.

Воспользуйтесь оснасткой центра сертификации, чтобы убедиться, что на компьютере с сетевым ответчиком у шаблона подписи ответов OCSP есть разрешения на чтение и подачу заявки.

Кроме того, код запроса, приведенный в составе сообщения об ошибке, можно использовать на компьютере центра сертификации для дальнейшей диагностики причины ошибки.

Устранение После устранения ошибок с разрешениями и других ошибок начните подачу заявки на сертификат заново. Для этого воспользуйтесь оснасткой "Службы", чтобы перезапустить службу сетевого ответчика на каждом из членов массива, или в оснастке "Сетевой ответчик" щелкните правой кнопкой мыши пункт Array Configuration (конфигурация массива) и выберите команду Обновить данные отзыва (обновить данные отзыва).

Если ошибка возникает снова, проверьте в журнале ошибок в центре сертификации наличие любых других событий, связанных с ошибками подачи заявок. Устраните все проблемы, связанные с обработкой запросов на получение сертификатов подписи ответов OCSP, а затем перезапустите службу сетевого ответчика, чтобы попытаться подать запрос снова.

Событие The Online Responder Service failed to install the enrollment response for configuration %1 for the signing certificate template %2. The request ID is %3 (%4) (Error Message) (Службе сетевого ответчика не удалось установить ответ на подачу заявки для конфигурации %1 по шаблону сертификата подписи %2. Код запроса – %3.(%4) (Сообщение об ошибке)).

Код события 35

Имя события MSG_E_CACONFIG_INSTALL_ENROLLMENT_RESPONSE_FAILED

Источник события OnlineResponder или OCSPSvc

Описание Служба сетевого ответчика смогла передать в центр сертификации запрос на выдачу сертификата подписи, но при обработке ответа на запрос возникла ошибка.

Диагностика Просмотрите описание события, чтобы узнать имя конфигурации отзыва, шаблон сертификата, для которого была предпринята попытка передачи запроса на выдачу сертификата, код запроса в центр сертификации и сообщение об ошибке.

Для проверки состояния и размещения запроса на сертификат воспользуйтесь оснасткой "Центр сертификации".

Если сертификат был выдан, проверьте, чтобы он был подписан с использованием сертификата центра сертификации, связанного с конфигурацией отзыва.

Устранение

Если сертификат был выдан, проверьте, чтобы он был подписан с помощью ключа центра сертификации, связанного с конфигурацией отзыва, используя указанные ниже действия.

  1. В оснастке "Центр сертификации" определите сертификат центра сертификации, с использованием которого был подписан сертификат, выпущенный для запроса, указанного в сообщении об ошибке.

  2. В оснастке "Сетевой ответчик" щелкните пункт Revocation Configuration (конфигурация отзыва), щелкните правой кнопкой мыши конфигурацию отзыва и выберите команду View CA Certificate (просмотр сертификата ЦС).

  3. Если два сертификата не совпадают, возможно, сертификат центра сертификации был обновлен, а конфигурация отзыва настроена для старого сертификата центра сертификации. Чтобы служба сетевого ответчика запрашивала сертификаты, подписанные старым (но действительным) сертификатом центра сертификации, откройте в центре сертификации командную строку и введите следующую команду:

    certutil –setreg ca\UseDefinedCACertInRequest 1

  4. Перезапустите центр сертификации.

После того как в центре сертификации включена выдача сертификатов подписи OCSP на основе сертификата центра сертификации, указанного в запросе, подайте новый запрос и обновите данные конфигурации отзыва, выполнив описанные ниже действия.

  1. В оснастке "Сетевой ответчик" щелкните правой кнопкой мыши пункт Array Configuration (конфигурация массива) и выберите команду Refresh Revocation Data (обновить данные отзыва).

  2. Убедитесь в отсутствии новых сообщений об ошибках.

  3. Щелкните узел сетевого ответчика и убедитесь в том, что для конфигурации отзыва указано значение Работает.

Событие 0xC25A0011 – The Online Responder web proxy failed to Initialize. %1 (Error Message) (Не удалось инициализировать веб-прокси сетевого ответчика. %1 (Сообщение об ошибке)).

Код события 17

Имя события MSG_E_FAILED_TO_INITIALIZE

Источник события OnlineResponderWebProxy или OCSPISAPIExtension

Описание Расширение ISAPI не удалось инициализировать в результате внутренней ошибки.

Диагностика Ошибка инициализации расширения ISAPI может быть вызвана указанными ниже причинами.

  • Служба сетевого ответчика (ocspsvc.exe) остановлена.

  • Неправильная конфигурация безопасности DCOM для интерфейса IOCSPAdmin приводит к тому, что ISAPI не удается обновить сведения веб-прокси.

  • Глобальные свойства конфигурации сетевого ответчика могут быть повреждены.

Устранение Для устранения проблемы выполните указанные ниже действия.

  1. Убедитесь в том, что служба ocspsvc.exe запущена.

  2. С помощью средства командной строки Dcomcnfg проверьте, чтобы у сетевой службы было разрешение "Активировать" для интерфейса IOCSPAdmin.

  3. Если есть подозрение на повреждение глобальных свойств конфигурации сетевого ответчика, удалите и снова установите службу сетевого ответчика, или выполните действия, описанные выше для события 29 сетевого ответчика, чтобы удалить и обновить конфигурацию через реестр или синхронизироваться с другими членами массива.

Событие 0x425A0014 – Online Responder Service detected an invalid configuration for the %1 property. The value was changed from %2(ExistingValue) to %3 (AdjustedValue) (Служба сетевого ответчика обнаружила недопустимую конфигурацию свойства %1. Значение изменено с %2 (существующее значение) на %3 (измененное значение)).

Код события 20

Имя события MSG_I_ADJUST_PROPERTY_VALUES

Источник события OnlineResponderWebProxy или OCSPISAPIExtension

Описание Это событие указывает на то, что значения конфигурации выходят за пределы разрешенного диапазона. Это может произойти в случае изменения реестра вручную.

Диагностика Нет

Устранение Для устранения проблемы выполните указанные ниже действия.

  1. Если речь идет о члене массива, выполните синхронизацию с контроллером массива или переустановите службу сетевого ответчика.

  2. Если речь идет о контроллере массива, временно сделайте другой член массива контроллером массива, синхронизируйте конфигурацию, а затем снова сделайте контроллером исходный член массива. В противном случае переустановите службу сетевого ответчика.

Событие 0xC25D0010 – For configuration %1, Online Responder revocation provider failed to update the CRL Information: %2. (Error Message) (Для конфигурации %1 поставщику отзыва сетевого ответчика не удалось обновить данные CRL: (Сообщение об ошибке)).

Код события 16

Имя события MSG_E_CRL_RETRIEVAL_FAILED

Источник события OnlineResponderRevocationProvider или OCSPRevInfoProvider

Описание Службе сетевого ответчика не удалось получить список отзыва сертификатов, необходимый для указанной конфигурации отзыва.

Диагностика Для диагностики проблемы выполните указанные ниже действия.

  1. С помощью оснастки "Сетевой ответчик" убедитесь, что для точек распространения базового списка отзыва сертификатов и разностного списка отзыва сертификатов заданы действительные URL-адреса.

    1. Откройте оснастку "Сетевой ответчик". В дереве консоли выберите узел конфигурации отзыва. В области сведений щелкните правой кнопкой мыши конфигурацию отзыва, которая указана в описании события, и выберите команду Edit Properties (изменить свойства). Откройте вкладку Revocation Provider (поставщик отзыва) и нажмите кнопку Provider (поставщик).

    2. Узнайте URL-адреса, настроенные в списках Base CRL URLs (URL-адреса базовых CRL) и Delta CRL URLs (URL-адреса разностных CRL). С помощью средств работы с сетью удостоверьтесь в доступности этих URL-адресов с компьютера с сетевым ответчиком, а также в том, что на них есть файлы списков отзыва сертификатов.

  2. С помощью оснастки "Центр сертификации" проверьте URL-адреса, по которым центр сертификации будет публиковать базовые и разностные списки отзыва сертификатов.

    1. Откройте оснастку "Центр сертификации", щелкните правой кнопкой мыши имя соответствующего центра сертификации, а затем выберите команду Свойства. Откройте вкладку Расширения и узнайте URL-адреса, введенные в расширение Точка распространения списков отзыва (CDP).

    2. Узнайте URL-адреса, для которых установлены флажки Опубликовать CRL по данному адресу или Публикация разностных CRL по адресу. Убедитесь в том, что они указывают на те же местоположения, которые настроены в оснастке "Сетевой ответчик" для базовых и разностных списков отзыва сертификатов.

  3. На компьютере, на котором публикуется базовый список отзыва сертификатов, проверьте расширение Новейший CRL для базового списка отзыва сертификатов. Оно должно указывать на расположение разностного списка отзыва сертификатов.

    1. При необходимости опубликуйте текущий список отзыва сертификатов заново, введя в командной строке следующую команду:

      certutil -crl 
      
    2. Затем проверьте возможность доступа службы "Сетевой ответчик" к списку отзыва сертификатов. В оснастке "Сетевой ответчик" щелкните правой кнопкой мыши пункт Array Configuration (конфигурация массива) и выберите команду Refresh Revocation Data (обновить данные отзыва).

  4. Если ошибка возникает снова, для получения дополнительных сведений включите средство диагностики CryptoAPI 2.0.

Сведения о том, как включить средство диагностики CryptoAPI 2.0 и как читать данные диагностики CryptoAPI, см. в разделе Включение диагностики CryptoAPI 2.0.

Устранение В зависимости от результатов описанных выше действий по устранению неполадок, а также включения диагностики CryptoAPI 2.0, убедитесь в том, что центр сертификации правильно публикует списки отзыва сертификатов и что они доступны службе сетевого ответчика.

Событие 0xC25D0011 – For configuration %1, Online Responder revocation provider either has no CRL information or has stale CRL information (для конфигурации %1 у поставщика отзыва сетевого ответчика либо нет сведений о CRL, либо эти сведения устарели).

Код события 17

Имя события MSG_E_INVALID_CRL

Источник события OnlineResponderRevocationProvider или OCSPRevInfoProvider

Описание Службе сетевого ответчика не удалось получить список отзыва сертификатов, необходимый для указанной конфигурации отзыва.

Диагностика См. диагностику для описанного выше события 16.

Сведения о том, как включить средство диагностики CryptoAPI 2.0 и как читать данные диагностики CryptoAPI, см. в разделе Включение диагностики CryptoAPI 2.0.

Устранение В зависимости от результатов описанных выше действий по устранению неполадок, а также включения диагностики CryptoAPI 2.0, убедитесь в том, что центр сертификации правильно публикует списки отзыва сертификатов и что они доступны службе сетевого ответчика.

Событие 0xC25D0012 – Для конфигурации %1 поставщик отзыва сетевого ответчика обнаружил разностный CRL, ссылающийся на более новый базовый CRL.

Код события 18

Имя события MSG_E_MISMATCHED_BASE_DELTA_CRL

Источник события OnlineResponderRevocationProvider или OCSPRevInfoProvider

Описание Это событие указывает на несоответствие разностного и базового списков отзыва сертификатов. Служба сетевого ответчика загрузила разностный список отзыва сертификатов, содержащий обновления базового списка отзыва сертификатов, который не удается найти. Разностный список отзыва сертификатов невозможно использовать без соответствующего базового списка отзыва сертификатов. Поэтому разностный список отзыва сертификатов недействителен.

Диагностика Это событие может быть вызвано перечисленными ниже причинами.

  • Центру сертификации не удалось опубликовать базовый список отзыва сертификатов, но разностный список отзыва сертификатов был опубликован правильно.

  • Службе сетевого ответчика не удалось получить базовый список отзыва сертификатов, но удалось получить разностный список отзыва сертификатов.

Для диагностики проблемы выполните указанные ниже действия.

  1. С помощью оснастки "Сетевой ответчик" проверьте URL-адреса базового и разностного списков отзыва сертификатов. Чтобы убедиться в правильности настройки URL-адресов центра сертификации и сетевого ответчика для публикации и получения базовых и разностных списков отзыва сертификатов, выполните действия, описанные выше в событии 16.

  2. Чтобы найти текущий разностный список отзыва сертификатов, воспользуйтесь оснасткой диспетчера сертификатов для учетной записи службы сетевого ответчика на компьютере с этой службой. Проверьте значение BaseCRLNumber, указанное в расширении разностного списка отзыва сертификатов "Индикатор разностного CRL". Это число должно указывать на номер версии опубликованного базового списка отзыва сертификатов.

  3. Если это число не совпадает с номером версии опубликованного базового списка отзыва сертификатов, выполните повторную публикацию базового и разностного списков отзыва сертификатов, введя в командной строке следующую команду:

    certutil –crl
    
  4. Получите обновленные данные списка отзыва сертификатов на сетевом ответчике. Перезапустите службу сетевого ответчика на каждом из членов массива или в оснастке "Сетевой ответчик" щелкните правой кнопкой мыши пункт Array Configuration (конфигурация массива) и выберите команду Refresh Revocation Data (обновить данные отзыва). Затем проверьте соответствие базового и разностного списков отзыва сертификатов.

noteПримечание
Если проблема возникает снова, для диагностики ее причины можно включить средство диагностики CryptoAPI 2.0. Дополнительные сведения см. в разделе Включение диагностики CryptoAPI 2.0.

Устранение В зависимости от результатов описанных выше действий по устранению неполадок, а также включения диагностики CryptoAPI 2.0, убедитесь в том, что центр сертификации правильно публикует списки отзыва сертификатов и что они доступны службе сетевого ответчика.

Сообщения оснастки "Сетевой ответчик"

Сообщения конфигурации массивов

Указанные ниже события относятся к состоянию членов массивов и отображаются в представлении "Конфигурация массива".

Сообщение Offline (автономный)

Описание Состояние члена массива "автономный" указывает на то, что с ним невозможно связаться для получения свойств сетевого ответчика или данных конфигурации отзыва.

Диагностика Нет

Устранение Для устранения проблемы выполните указанные ниже действия.

  1. Убедитесь в том, компьютер члена массива работает.

  2. Убедитесь в том, что на компьютере члена массива запущена служба сетевого ответчика (ocspsvc.exe).

  3. С помощью программы командной строки Ping проверьте наличие сетевого соединения с членом массива.

  4. С помощью средства командной строки Dcomcnfg проверьте, чтобы у текущего пользователя были надлежащие разрешения для интерфейса IOCSPAdmin.

Сообщение Responder Properties not present on Array Controller (на контроллере массива отсутствуют свойства ответчика).

Описание Эта ошибка может возникать в тех случаях, когда параметры сетевого ответчика не удаляются с контроллера массива, а у текущего пользователя отсутствуют необходимые разрешения для обновления реестра.

Диагностика Нет

Устранение Оснастку "Сетевой ответчик" должен открыть пользователь с правами на управление сетевым ответчиком. Это позволит механизму синхронизации выполнить повторную синхронизацию свойств и конфигураций отзыва массива.

Сообщение Responder Properties are not synchronized (свойства ответчика не синхронизованы).

Описание Это сообщение отображается в случаях, когда во время изменения конфигурации отзыва или свойств сетевого ответчика член массива находился в автономном состоянии.

Диагностика Нет

Устранение Оснастку "Сетевой ответчик" должен открыть пользователь с правами на управление сетевым ответчиком. Это позволит механизму синхронизации выполнить повторную синхронизацию свойств и конфигураций отзыва массива.

Сообщение Online (оперативный)

Описание Член массива работает.

Диагностика Нет

Устранение Нет

Сообщение Status Unknown (состояние неизвестно)

Описание Неизвестное состояние члена массива отображается в случае, когда контроллер массива находится в автономном состоянии и свойства члена массива или данные конфигурации отзыва невозможно оценить. Следует отметить, что это не обязательно означает выход члена массива из строя.

Диагностика Нет

Устранение Для устранения проблемы выполните указанные ниже действия.

  1. Убедитесь в том, компьютер контроллера массива работает.

  2. Убедитесь в том, что на компьютере контроллера массива запущена служба сетевого ответчика (ocspsvc.exe).

  3. С помощью программы командной строки Ping проверьте наличие сетевого соединения с контроллером массива.

  4. С помощью средства командной строки Dcomcnfg проверьте, чтобы у текущего пользователя были надлежащие разрешения для интерфейса IOCSPAdmin.

Сообщение Array Controller Name on Member is Incorrect (неправильное имя контроллера массива на члене массива).

Описание Эта ситуация может возникать в случаях назначения нового контроллера массива, когда при нахождении члена массива в автономном режиме изменяются параметры безопасности всего массива.

Диагностика Для диагностики проблемы выполните указанное ниже действие.

  • Проверьте наличие у текущего пользователя прав для интерфейса IOCSPAdmin.

Устранение Оснастку "Сетевой ответчик" должен открыть пользователь с правами на управление сетевым ответчиком. Это позволит механизму синхронизации выполнить повторную синхронизацию свойств и конфигураций отзыва массива. Чтобы снова синхронизировать данные конфигурации сетевого ответчика со всеми членами массива, щелкните правой кнопкой мыши пункт Array Configuration (конфигурация массива) и выберите команду Synchronize Members with Array Controller (синхронизовать члены с контроллером массива).

Сообщение Неправильные имена членов массива на члене массива.

Описание Эта ситуация может возникать в случаях добавления нового члена массива, когда при нахождении члена массива в автономном режиме изменяются параметры безопасности всего массива.

Диагностика Для диагностики проблемы выполните указанное ниже действие.

  • Проверьте наличие у текущего пользователя прав для интерфейса IOCSPAdmin.

Устранение Оснастку "Сетевой ответчик" должен запустить пользователь с правами на управление сетевым ответчиком. Это позволит механизму синхронизации выполнить повторную синхронизацию свойств и конфигураций отзыва массива. Чтобы снова синхронизировать данные конфигурации сетевого ответчика со всеми членами массива, выберите действие Synchronize members with array controller (синхронизовать члены с контроллером массива) узла "Массив".

Сообщения конфигурации отзыва

Указанные ниже события относятся к состоянию конфигураций отзыва и отображаются в оснастке "Сетевой ответчик" в представлении Revocation Configuration (конфигурация отзыва).

Сообщение Revocation Configuration is not synchronized with Array Controller (конфигурация отзыва не синхронизована с контроллером массива).

Описание Эта ситуация может возникать в случаях, когда во время изменения конфигурации отзыва на контроллере массива член массива находился в автономном состоянии.

Диагностика Нет

Устранение Синхронизируйте массив с помощью оснастки "Сетевой ответчик".

Сообщение Revocation Configuration is missing on Array Controller (на контроллере массива отсутствует конфигурация отзыва).

Описание Эта ситуация может возникать в случаях, когда оснастка "Сетевой ответчик" работает с членом массива, а контроллер массива находится в автономном состоянии.

Диагностика Нет

Устранение Для устранения проблемы выполните указанные ниже действия.

  1. Убедитесь в том, компьютер контроллера массива работает.

  2. Убедитесь в том, что на компьютере контроллера массива запущена служба сетевого ответчика (ocspsvc.exe).

  3. С помощью программы командной строки Ping проверьте наличие сетевого соединения с контроллером массива.

  4. С помощью средства командной строки Dcomcnfg проверьте, чтобы у текущего пользователя были надлежащие разрешения для интерфейса IOCSPAdmin.

Сообщение Revocation Configuration is missing on array member(s) (на членах массива отсутствует конфигурация отзыва).

Описание Эта ситуация может возникать в тех случаях, когда оснастка "Сетевой ответчик" работает с контроллером массива, а член массива находится в автономном состоянии.

Диагностика Для диагностики проблемы выполните указанные ниже действия.

  1. Убедитесь в том, компьютер члена массива работает.

  2. Убедитесь в том, что на компьютере члена массива запущена служба сетевого ответчика (ocspsvc.exe).

  3. С помощью программы командной строки Ping проверьте наличие сетевого соединения с членом массива.

  4. С помощью средства командной строки Dcomcnfg проверьте, чтобы у текущего пользователя были надлежащие разрешения для интерфейса IOCSPAdmin.

Устранение Если член массива находится в оперативном режиме и доступен, чтобы снова синхронизировать данные конфигурации сетевого ответчика со всеми членами массива, выберите действие Синхронизовать члены с контроллером массива узла "Массив".

Сообщение Working (работает)

Описание Состояние "работает" указывает на то, что конфигурация отзыва работает нужным образом.

Диагностика Нет

Устранение Нет

Сообщение Bad signing certificate on Array Controller (неверный сертификат подписи на контроллере массива).

Описание Данное сообщение отображается в том случае, когда служба сетевого ответчика сталкивается с проблемой нахождения или загрузки сертификата подписи определенной конфигурации.

Диагностика См. действия диагностики для описанного выше события 23.

Устранение См. действия по устранению для описанного выше события 23.

Сообщение Bad signing certificate on member(s) (неверный сертификат подписи на членах).

Описание Данное сообщение отображается в том случае, когда служба сетевого ответчика сталкивается с проблемой нахождения или загрузки сертификата подписи определенной конфигурации.

Диагностика См. действия диагностики для описанного выше события 23.

Устранение См. действия по устранению для описанного выше события 23.

Сообщение Signing certificate status is not yet available for the Array Controller (состояние сертификата подписи еще не доступно для контроллера массива).

Описание Это сообщение указывает на то, что для указанной конфигурации отзыва недоступен сертификат подписи.

Диагностика Это сообщение может отображаться после создания или переименования конфигурации отзыва или после изменения свойств подписывания.

Устранение Обновите данные в оснастке "Сетевой ответчик", щелкнув в области Действия ссылку Обновить.

Сообщение Signing certificate status is not yet available for member(s) (состояние сертификата подписи еще не доступно для членов).

Описание Это сообщение указывает на то, что для указанной конфигурации отзыва недоступен сертификат подписи или что сертификат доступен, но конфигурацией подписи не обнаружен.

Диагностика Это сообщение может отображаться после создания или переименования конфигурации отзыва или после изменения свойств подписывания.

Устранение Обновите начальную страницу, щелкнув в области Действия ссылку Обновить.

Сообщение Revocation provider is not working on the Array Controller (поставщик отзыва не работает на контроллере массива).

Описание Это сообщение указывает на то, что на контроллере массива неправильно настроен поставщик отзыва.

Диагностика Нет

Устранение Для устранения проблемы выполните указанные ниже действия.

  1. Откройте свойства поставщика отзыва для указанной конфигурации отзыва.

  2. Проверьте, чтобы все параметры были правильными и находились в допустимых диапазонах значений.

Сообщение OCSP signing templates could not be retrieved. (Невозможно получить шаблоны сертификатов подписи OCSP. %(сообщение об ошибке)).

Описание Это сообщение указывает на то, что службе сетевого ответчика не удалось получить список шаблонов сертификатов, с помощью которых можно выдать сертификаты подписи ответов OCSP. По этой причине службе сетевого ответчика не удается подать заявку на выдачу сертификата подписи.

Диагностика Для диагностики проблемы выполните указанные ниже действия.

  1. Проверьте, чтобы у компьютера, на котором работает служба сетевого ответчика, была связь с центром сертификации. Воспользуйтесь оснасткой центра сертификации на ЦС, чтобы убедиться, что центр сертификации настроен на выпуск сертификатов на основе шаблона сертификата подписи ответов OCSP.

  2. Воспользуйтесь оснасткой центра сертификации на ЦС, чтобы убедиться, что на компьютере с сетевым ответчиком у шаблона подписи ответов OCSP есть разрешения на чтение, подачу заявки и автоподачу заявки.

Устранение Для устранения проблемы выполните указанные ниже действия.

  1. Настройте центр сертификации для выдачи сертификатов на основе шаблона подписи ответов OCSP.

  2. Воспользуйтесь оснасткой центра сертификации на ЦС, чтобы предоставить компьютеру с сетевым ответчиком разрешения на чтение, подачу заявки и автоподачу заявки с использованием шаблона подписи ответов OCSP.

Включение диагностики CryptoAPI 2.0

Диагностика CryptoAPI 2.0 – это новый компонент в Windows Vista и Windows Server 2008, который упрощает диагностику проблем, связанных с инфраструктурой открытых ключей. Он регистрирует сведения о создании цепочки сертификатов и отзыве в средстве просмотра событий более подробно, чем средства диагностики неполадок предыдущего интерфейса CryptoAPI.

Диагностика CryptoAPI 2.0 регистрирует события, которые относятся к вызываемым прикладным программным интерфейсам CryptoAPI 2.0. В дополнение к параметрам и результатам работы этих прикладных программных интерфейсов данное средство также регистрирует все попытки получения по сети, ошибки HTTP и события прокси. Если в приложении регистрируются ошибки CryptoAPI 2.0, при воспроизведении неполадки воспользуйтесь данным компонентом.

Этот компонент можно включить из средства просмотра событий или с помощью сценариев командной строки.

Включение диагностики CryptoAPI 2.0 из средства просмотра событий

  1. Чтобы открыть средство "Просмотр событий", нажмите кнопку Пуск, щелкните правой кнопкой мыши пункт Мой компьютер и выберите команду Управление. Средство "Просмотр событий" находится в окне "Управление компьютером" в разделе "Служебные".

    noteПримечание
    "Просмотр событий" – это оснастка консоли управления (MMC). Для доступа к ней требуются права администратора.

  2. В оснастке "Просмотр событий" перейдите к пунктам Журналы приложений, Microsoft, Windows, а затем CryptoAPI 2.0 для канала CryptoAPI 2.0.

  3. Щелкните пункт Работает правой кнопкой мыши и выберите команду Свойства журнала.

  4. Установите флажок Включить ведение журнала. При этом будет включено ведение журнала диагностики CryptoAPI 2.0.

  5. Чтобы сохранить журнал в файл, щелкните правой кнопкой мыши пункт Работает и выберите команду Сохранить файл журнала как.

    Файл журнала можно сохранить в формате ELF (который можно открыть с помощью оснастки "Просмотр событий") или в стандартном формате XML.

  6. Если перед воспроизведением неполадки в журналах присутствуют данные, рекомендуется их очистить. Это позволяет извлекать из сохраненных журналов только те данные, которые относятся к проблемной ситуации. Чтобы очистить журнал, щелкните правой кнопкой мыши пункт Работает и выберите команду Очистить журнал.

Включать ведение журналов и сохранять журналы можно также с помощью средства wevtutil.exe.

Включение диагностики CryptoAPI 2.0 с помощью сценариев командной строки

  1. Щелкните правой кнопкой мыши значок командной строки и выберите команду Запуск от имени администратора.

  2. В командной строке введите указанные ниже команды.

    • Чтобы включить ведение журнала, введите:

      wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true
      
    • Чтобы сохранить журнал в файл, введите:

      wevtutil.exe epl Microsoft-Windows-CAPI2/Operational filename.elf
      
    • Чтобы отключить ведение журнала, введите:

      wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false
      
    • Чтобы удалить журналы, введите:

      wevtutil.exe cl Microsoft-Windows-CAPI2/Operational
      

Дополнительные ресурсы

Была ли вам полезна эта информация?
(1500 символов осталось)
Спасибо за ваш отзыв

Добавления сообщества

ДОБАВИТЬ
Показ:
© 2014 Microsoft