Exportieren (0) Drucken
Alle erweitern

Installieren, Konfigurieren und Behandeln von Problemen des Online-Responders (OCSP-Responder von Microsoft)

Letzte Aktualisierung: März 2011

Betrifft: Windows Server 2008

noteHinweis
Sie können eine Kopie dieses Dokuments unter http://go.microsoft.com/fwlink/?LinkId=85461 herunterladen.

Übersicht

Eine Public Key-Infrastruktur (PKI) besteht aus mehreren Komponenten, einschließlich Zertifikaten, Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) und Zertifizierungsstellen (Certification Authorities, CAs). In den meisten Fällen muss in Anwendungen, für die X.509-Zertifikate verwendet werden, beispielsweise S/MIME (Secure/Multipurpose Internet Mail Extensions), SSL (Secure Sockets Layer) und Smartcards, der Status der Zertifikate überprüft werden, wenn diese zum Ausführen von Authentifizierungs-, Signatur- oder Verschlüsselungsvorgängen verwendet werden. Bei der Zertifikatstatus- und -sperrüberprüfung wird die Gültigkeit von Zertifikaten basierend auf zwei Hauptkategorien überprüft: Zeit und Sperrstatus.

  • Zeit. Zertifikate werden für einen festen Zeitraum ausgestellt und werden als gültig betrachtet, solange das Ablaufdatum des Zertifikats nicht erreicht ist und das Zertifikat nicht vor diesem Datum gesperrt wurde.

  • Sperrstatus. Zertifikate können aus verschiedenen Gründen vor dem Ablaufdatum gesperrt werden, beispielsweise bei Schlüsselkompromissen oder Aussetzungen. Vor dem Ausführen eines Vorgangs wird in Anwendungen oft überprüft, ob das Zertifikat gesperrt ist.

Es gibt mehrere Möglichkeiten zum Überprüfen des Sperrstatus von Zertifikaten, allgemein werden hierfür jedoch Zertifikatsperrlisten, Deltasperrlisten und OCSP-Antworten (Online Certificate Status-Protokoll) verwendet. Beispiele für allgemeine Szenarien für die Verwendung von OCSP:

  • Zertifikatsperrüberprüfung mit SSL/TLS (Transport Layer Security)

  • Smartcard-Anmeldung

  • Enterprise S/MIME

  • Extensible Authentication-Protokoll (EAP)/TLS-basiertes virtuelles privates Netzwerk (VPN)

Microsoft bietet systemeigene Unterstützung nur für Zertifikatsperrlisten in Betriebssystemen vor Windows Vista®. Windows Vista und das Betriebssystem Windows Server® 2008 bieten systemeigene Unterstützung für Zertifikatsperrlisten und OCSP als Methode für die Ermittlung des Zertifikatstatus. Die OCSP-Unterstützung umfasst die Clientkomponente sowie den Online-Responder, das heißt die Serverkomponente.

Grundlegendes zu Sperrüberprüfungskonzepten

Beim Ausführen einer Zertifikatauswertung in einer Anwendung werden alle Zertifikate in der Kette des jeweiligen Zertifikats überprüft. Dazu gehören alle Zertifikate vom der Anwendung bereitgestellten Endeinheitszertifikat bis zum Stammzertifikat.

Bei der Überprüfung des ersten Zertifikats in der Kette findet folgender Prozess statt:

  1. Das Zertifikatverkettungsmodul versucht, die Kette für das überprüfte Zertifikat zu erstellen, indem es den lokalen Zertifikatspeicher abfragt oder die Zertifikate von einer der verfügbaren URLs in den Erweiterungen des Stelleninformationszugriffs des überprüften Zertifikats herunterlädt.

  2. Es werden für alle Zertifikatketten, die in einem vertrauenswürdigen Stamm enden, alle Zertifikate in der Kette überprüft. Dazu gehören die folgenden Schritte:

    • Es wird überprüft, ob die Signaturen der einzelnen Zertifikate gültig sind.

    • Es wird überprüft, ob die aktuellen Datums- und Zeitangaben innerhalb des Gültigkeitszeitraums der einzelnen Zertifikate liegen.

    • Es wird überprüft, ob die einzelnen Zertifikate beschädigt oder fehlerhaft sind.

  3. Der Sperrstatus der einzelnen Zertifikate in der Zertifikatkette wird überprüft. Die Sperrüberprüfung wird mithilfe einer Zertifikatsperrliste oder mithilfe von OCSP basierend auf der Zertifikatkonfiguration ausgeführt.

Nach Abschluss der Überprüfung gibt das Zertifikatverkettungsmodul die Ergebnisse der Überprüfung an die Anwendung zurück, von der die Überprüfungsanforderung stammt. Aus den Ergebnissen geht hervor, ob alle Zertifikate in der Kette gültig sind, ob die Kette bei einer nicht vertrauenswürdigen Stammzertifizierungsstelle endet, ob Zertifikate in der Kette ungültig sind oder ob der Sperrstatus eines der Zertifikate in der Kette nicht ermittelt werden kann.

Weitere Informationen finden Sie im Artikel zur Zertifikatsperrung und Statusüberprüfung (http://go.microsoft.com/fwlink/?LinkID=27081, möglicherweise in englischer Sprache).

Zertifikatsperrlisten

Eine Zertifikatsperrliste ist eine von einer Zertifizierungsstelle erstellte und signierte Datei, die Seriennummern von Zertifikaten enthält, die von dieser Zertifizierungsstelle ausgestellt wurden und gesperrt sind. Zusätzlich zu den Seriennummern der gesperrten Zertifikate enthält die Zertifikatsperrliste für jedes Zertifikat den Sperrgrund und den Zeitpunkt der Sperrung.

Zurzeit gibt es zwei Arten von Zertifikatsperrlisten: Basissperrlisten und Deltasperrlisten. In Basissperrlisten wird eine vollständige Liste der gesperrten Zertifikate verwaltet, während in Deltasperrlisten nur die Zertifikate verwaltet werden, die seit der letzten Veröffentlichung einer Basissperrliste gesperrt wurden.

Der große Nachteil von Zertifikatsperrlisten ist ihre potenzielle Größe, die die Skalierbarkeit des Zertifikatsperrlistenansatzes begrenzt. Die Größe führt zu einer beträchtlichen Bandbreiten- und Speicherlast für die Zertifizierungsstelle und die abhängige Seite und begrenzt damit die Verteilung der Zertifikatsperrliste durch das System. Außerdem sind negative Auswirkungen auf die Bandbreite und den Speicherplatz sowie die Verarbeitungskapazität der Zertifizierungsstelle möglich, wenn die Veröffentlichungshäufigkeit zu hoch wird. Es wurden zahlreiche Versuche unternommen, das Problem mit der Größe der Zertifikatsperrlisten durch die Einführung von partitionierten Zertifikatsperrlisten, Deltasperrlisten und indirekten Zertifikatsperrlisten zu lösen. Alle diese Ansätze erhöhen die Komplexität und die Kosten für das System, ohne eine optimale Lösung für das zugrunde liegende Problem bereitzustellen.

Ein weiterer Nachteil von Zertifikatsperrlisten ist die Latenz; da der Veröffentlichungszeitraum für Zertifikatsperrlisten vordefiniert ist, sind die Informationen in der Zertifikatsperrliste bis zur Veröffentlichung einer neuen Zertifikatsperrliste oder Deltasperrliste möglicherweise veraltet.

OCSP

OCSP ist ein Hypertext Transfer-Protokoll (HTTP), mit dem eine abhängige Seite eine Zertifikatstatusanforderung an einen OCSP-Responder senden kann. Daraufhin wird eine definitive, digital signierte Antwort mit dem Zertifikatstatus zurückgegeben. Die pro Anforderung abgerufene Datenmenge bleibt unabhängig von der Anzahl der gesperrten Zertifikate in der Zertifizierungsstelle stets konstant. Die meisten OCSP-Responder erhalten ihre Daten aus veröffentlichten Zertifikatsperrlisten und sind daher auf die Veröffentlichungshäufigkeit der Zertifizierungsstelle angewiesen. Manche OCSP-Responder können jedoch Daten direkt aus der Zertifikatstatusdatenbank einer Zertifizierungsstelle empfangen und daher nahezu den Echtzeitstatus bereitstellen.

Die Skalierbarkeit ist der größte Nachteil des OCSP-Ansatzes. Da es sich um einen Onlineprozess handelt, der für die Beantwortung einzelner Zertifikatstatusanforderungen konzipiert ist, ergeben sich mehr Servertreffer. Dann sind mehrere geografisch verteilte Server erforderlich, um die Last zu verteilen. Die Prozesse für das Signieren der Antwort und die Überprüfung der Signatur beanspruchen ebenfalls Zeit und können sich damit negativ auf die allgemeine Antwortzeit auf der abhängigen Seite auswirken. Da die Integrität der signierten Antwort von der Integrität des Signaturschlüssels des OCSP-Responders abhängt, muss nach der Überprüfung der Antwort durch den Client auch die Gültigkeit dieses Schlüssels überprüft werden.

Grundlegendes zu den Komponenten des Online-Responders

Die Microsoft-Implementierung von OCSP ist in Client- und Serverkomponenten unterteilt (Abbildung 1). Die Clientkomponente ist in die CryptoAPI 2.0-Bibliothek integriert, die Serverkomponente hingegen wird als neuer Dienst der Active Directory®-Zertifikatdienste-Serverrolle (Active Directory Certificate Services, AD CS) eingeführt.

Abbildung 1: Komponenten des Online-Responders von Microsoft

Komponenten des Online-Antwortdienstes

OCSP-Client

Der OCSP-Client ist vollständig in die CryptoAPI 2.0-Zertifikatsperrinfrastruktur integriert. Er implementiert die Empfehlung aus dem IETF-Entwurf (Internet Engineering Task Force) zu PKIX (Public Key Infrastructure X.509) "Lightweight OCSP Profile for High Volume Environment" und ist optimiert für Szenarien mit hohem Implementierungsaufwand.

Der Hauptunterschied zwischen dem Lightweight OCSP-Profil und RFC 2560, "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP", kann wie folgt zusammengefasst werden:

  • Das Lightweight OCSP-Profil unterstützt sowohl HTTP (Hypertext Transfer-Protokoll) als auch HTTPS (Secure Hypertext Transfer-Protokoll).

  • In Lightweight OCSP-Profilantworten müssen Datumswerte für "Nicht vor" und "Nicht nach" angegeben sein, die im vollständigen Profil nicht erforderlich sind.

  • Signierte Anforderungen werden im Lightweight OCSP-Profil nicht unterstützt. Der Client kann eine signierte Anforderung erstellen; wenn eine signierte Anforderung, die von OCSP-Clients von Drittanbietern erstellt werden kann, an den Online-Responder gesendet wird, wird die Antwort "Nicht autorisiert" zurückgegeben.

  • Beim Lightweight OCSP-Profil werden Nonces in der Anforderung nicht unterstützt und in der Antwort ignoriert. Der Online-Responder unterstützt jedoch die NONCE-Erweiterung und gibt eine Antwort zurück, die die NONCE-Erweiterung enthält, wenn die Konfiguration dies vorsieht. Weitere Informationen finden Sie unter Verwalten von Sperrkonfigurationen.

Wenn eine Anwendung die CryptoAPI 2.0 aufruft, um ein Zertifikat zu überprüfen, in dem Speicherorte für Online-Responder angegeben sind, werden in der Sperrinfrastruktur (für jeden in der Erweiterung des Stelleninformationszugriffs angegebenen Online-Responder) die folgenden grundlegenden Schritte ausgeführt:

  1. Durchsuchen des lokalen CryptoAPI 2.0-In-Memory-Caches und -Datenträgercaches nach einer zwischengespeicherten OCSP-Antwort mit einer gültigen Uhrzeit. Der Datenträgercache befindet sich unter: <Laufwerk>:\Users\<Benutzername>\AppData\LocalLow\Microsoft\CryptnetUrlCache.

    noteHinweis
    Die Antwortzwischenspeicherung wird standardmäßig vom OCSP-Client ausgeführt. Dieses Verhalten können Sie ändern, indem Sie den Wert ChainCacheResynchFiletime im Registrierungsschlüssel HKLM\SOFTWARE\Microsoft\Cryptography\OID\EncodingType 0\CertDllCreateCertificateChainEngine\Config ändern. Der Wert ChainCacheResynchFiletime gibt Datum und Uhrzeit für das Löschen des In-Memory-Caches an. Die folgenden Certutil-Befehle können zum Ändern des Werts ChainCacheResynchFiletime verwendet werden:

    • So legen Sie einen Registrierungswert auf das aktuelle Datum und die aktuelle Uhrzeit fest

      certutil –setreg chain\ChainCacheResyncFiletime @now

    • So legen Sie einen Registrierungswert auf das aktuelle Datum und die aktuelle Uhrzeit plus 3 Tage und 1 Stunde fest

      certutil –setreg chain\ChainCacheResyncFiletime @now+3:1

    • So zeigen Sie einen Registrierungswert an

      certutil –getreg chain\ChainCacheResyncFiletime

    • So löschen Sie einen Registrierungswert

      certutil –delreg chain\ChainCacheResyncFiletime

  2. Wenn keine akzeptable zwischengespeicherte Antwort gefunden wird, wird mithilfe der HTTP GET-Methode eine Antwort gesendet. Wenn der Online-Responder die GET-Methode nicht unterstützt, wiederholt die CryptoAPI 2.0 die Anforderung mithilfe der HTTP POST-Methode. Pro OCSP-Anforderung kann nur ein Zertifikat überprüft werden. Außerdem ist es nicht möglich, die CryptoAPI 2.0 so zu konfigurieren, dass immer zuerst die POST-Methode verwendet wird.

  3. Die Signatur der Antwort, einschließlich des delegierten OCSP-Signaturgeberzertifikats, wird überprüft. Wenn das Zertifikat die Erweiterung id-pkix-ocsp-nocheck enthält, die durch die Objektkennung 1.3.6.1.5.5.7.48.1.5 identifiziert wird, wird der Sperrstatus des delegierten OCSP-Signaturgeberzertifikats von der CryptoAPI nicht überprüft.

Online-Responder-Webproxycache

Der Online-Responder-Webproxycache stellt die Dienstschnittstelle für den Online-Responder dar. Er wird von den Internetinformationsdiensten (Internet Information Services, IIS) als Internetserver-API-Erweiterung (Internet Server Application Programming Interface, ISAPI) implementiert und führt folgende Vorgänge aus:

  • Anforderungsdecodierung. Alle an den Online-Responder gesendeten Anforderungen sind gemäß dem in RFC 2560 definierten Anforderung/Antwort-Schema ASN.1-codiert (Abstract Syntax Notation One). Weitere Informationen zu RFC 2560 finden Sie im Artikel zu RFC 2560, "X.509 Internet Public Key Infrastructure Online Certificate Status Protocol - OCSP" (http://go.microsoft.com/fwlink/?LinkID=71068, möglicherweise in englischer Sprache). Nachdem der Online-Responder-Webproxy eine Anforderung empfangen hat, versucht die Decoderkomponente, die Anforderung zu decodieren und die zu überprüfende Zertifikatseriennummer zu extrahieren.

  • Antwortzwischenspeicherung. Nach dem Empfang einer Anforderung und der Extraktion einer Zertifikatseriennummer überprüft der Online-Responder-Webproxy den lokalen Cache auf eine gültige Antwort. Der Cache wird als Teil der ISAPI-Erweiterung implementiert und ist ein In-Memory-Cache. Wenn durch eine Clientanforderung ein Cachefehler entsteht, fordert der Online-Responder-Webproxy beim Online-Responderdienst eine Antwort an. Die Gültigkeitsdauer des Cacheelements wird auf die Gültigkeitsdauer der Zertifikatsperrliste, von der die Antwort generiert wurde, oder auf die Gültigkeitsdauer des Signaturschlüssels festgelegt, je nachdem, welche Dauer kürzer ist.

noteHinweis
Zusätzlich zur OCSP-ISAPI-Erweiterungszwischenspeicherung führt die IIS-Bibliothek HTTP.SYS 120 Sekunden lang eine Zwischenspeicherung aus. Wenn in diesem Zeitraum mehrere Anforderungen an den Online-Responder eingehen, erhalten sie die von HTTP.SYS zwischengespeicherte Antwort.

Online-Responderdienst

Der Online-Responder ist ein Microsoft Windows NT®-Dienst (ocspsvc.exe), der mit den Berechtigungen des Netzwerkdiensts ausgeführt wird. Er führt folgende Vorgänge aus:

  • Verwalten der Konfiguration des Online-Responders. Der Online-Responder stellt einen responderweiten Attributsatz bereit, der konfiguriert werden kann. Diese Attribute schließen öffentliche Schnittstellen, Zugriffssteuerungseinstellungen, Überwachungseinstellungen und Webproxycache-Einstellungen ein. Alle Konfigurationsinformationen werden in der Registrierung unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder gespeichert.

  • Abrufen und Zwischenspeichern von Sperrinformationen basierend auf der Konfiguration. Basierend auf der Sperrkonfiguration kann der Online-Responderdienst Sperrinformationen, wie beispielsweise Zertifikatsperrlisten und Deltasperrlisten, für die zukünftige Verwendung abrufen und zwischenspeichern. Weitere Informationen finden Sie unter Sperrkonfiguration.

  • Signieren von Antworten. Für jede erfolgreiche Anforderung signiert der Online-Responder die Antwort mit einem vorher erhaltenen Signaturschlüssel.

  • Überwachen von Konfigurationsänderungen. Alle Konfigurationsänderungen des Online-Responders können daraufhin überwacht werden, ob sie den Anforderungen der allgemeinen Kriterien entsprechen. Weitere Informationen zu Überwachungseinstellungen finden Sie unter Konfigurieren des Online-Responders.

Sperrkonfiguration

Bei einer Sperrkonfiguration handelt es sich um einen Satz Definitionen, die den Online-Responderdienst so konfigurieren, dass er auf eine Zertifikatstatusanforderung für eine bestimmte Zertifizierungsstelle antwortet. Jeder Online-Responder kann eine oder mehrere Sperrkonfigurationen haben. Sperrkonfigurationen enthalten Folgendes:

  • Zertifizierungsstellenzertifikat

  • Signaturzertifikat für OCSP-Antworten

  • Sperranbieterspezifische Konfiguration

Sperranbieter

Sperranbieter sind die Komponenten, die für das Abrufen und Zwischenspeichern der vom Online-Responderdienst verwendeten Sperrinformationen verantwortlich sind. Wenn der Online-Responderdienst eine OCSP-Anforderung empfängt, sucht er zuerst die Sperrkonfiguration. Diese ist so konfiguriert, dass sie Sperrinformationen für die Zertifizierungsstelle bereitstellt, von der das jeweilige Zertifikat ausgestellt wurde. Anschließend extrahiert der Online-Responderdienst die Zertifikatseriennummer und sucht eine lokale Zertifikatsperrliste. (Weitere Informationen zur lokalen Zertifikatsperrliste finden Sie unter Verwalten von Sperrkonfigurationen.) Wenn keine relevanten Informationen gefunden werden, sendet der Online-Responderdienst die Seriennummer an den Sperranbieter, der von der jeweiligen Sperrkonfiguration verwendet wird. Der Anbieter gibt wiederum den Status des Zertifikats an den Online-Responderdienst zurück.

Obwohl die Sperranbieter erweiterbar sein sollen, damit benutzerdefinierte Anbieter entwickelt und vom Online-Responder verwendet werden können, stellt der Online-Responder von Windows Server 2008 nur einen standardmäßigen auf Zertifikatsperrlisten basierenden Sperranbieter bereit und ermöglicht nicht das Hinzufügen neuer Anbieter.

Untersuchen von Bereitstellungsmodellen für den Online-Responder

Beim Bereitstellen des Online-Responders sollten aus Gründen der Skalierbarkeit, der hohen Verfügbarkeit und der Sicherheit verschiedene Bereitstellungsmodelle in Betracht gezogen werden.

Erzielen von Skalierbarkeit und hoher Verfügbarkeit

Abbildung 2 zeigt die Bereitstellungsmodelle, mit denen Sie Skalierbarkeit und hohe Verfügbarkeit erzielen können. Der Online-Responder kann auf einem einzelnen Computer oder in einem Softwarecluster, der einen oder mehrere Computer enthält, bereitgestellt werden. Für die Cluster können Sie einen beliebigen Software- oder Hardwarelastenausgleich für TCP/IP verwenden. Das MMC-Snap-In (Microsoft Management Console) Online-Responder ermöglicht das Verwalten mehrerer Responder als einzelne Einheit. Weitere Informationen finden Sie unter Konfigurieren des Online-Responders.

Abbildung 2: Bereitstellungsmodelle für Skalierbarkeit und hohe Verfügbarkeit

Bereitstellungsmodell für Skalierbarkeit und hohe Verfügbarkeit

Bereitstellungsmodelle für Extranetszenarien

Zu den Entwurfsüberlegungen beim Bereitstellen von mit Extranets verbundenen Online-Respondern gehört die Schutzstufe für den Signaturschlüssel des Online-Responders. Abbildung 3 zeigt zwei Optionen für den Schutz des Online-Responders.

Abbildung 3: Extranetbereitstellungsmodelle

Bereitstellungsmodell für ein Extranet

In Diagramm 1 von Abbildung 3 befindet sich der Online-Responder in einem geschützten LAN, während alle Anforderungen von einem authentifizierten Server umgeleitet werden, auf dem IIS ausgeführt wird und der sich in einem Umkreisnetzwerk befindet. Der Vorteil eines solchen Bereitstellungsmodells besteht darin, dass für die Firewallkonfiguration nur Pass-Through für Port 80 zwischen IIS und dem Online-Responder verwendet wird. Sie können ähnliche Ergebnisse erzielen, indem Sie die in Diagramm 2 von Abbildung 3 gezeigte Reverseproxyfunktionalität von Microsoft Internet Security & Acceleration (ISA) Server verwenden. Führen Sie die folgenden Schritte aus, um Webveröffentlichungsregeln für ISA Server 2006 zu konfigurieren:

  1. Öffnen Sie das Snap-In Microsoft Internet Security & Acceleration Server 2006. Klicken Sie mit der rechten Maustaste auf den Knoten Firewallrichtlinie, zeigen Sie auf Neu, und klicken Sie dann auf Website-Veröffentlichungsregel.

  2. Geben Sie einen Namen für die neue Regel ein, und klicken Sie auf Weiter.

  3. Überprüfen Sie, ob Zulassen ausgewählt ist, und klicken Sie dann auf Weiter.

  4. Wenn das Ziel ein einzelner Server oder ein NLB-Cluster (Network Load Balancing, Netzwerklastenausgleich) ist, klicken Sie auf Einzelne Website oder Lastenausgleich veröffentlichen. Wenn Sie ISA Server als Lastenausgleich für ein Online-Responderarray verwenden, klicken Sie auf Serverfarm mit Webserver-Lastenausgleich veröffentlichen. Klicken Sie auf Weiter.

  5. Klicken Sie auf Nicht sichere Verbindungen verwenden, um eine Verbindung zum veröffentlichten Webserver oder zur Serverfarm herzustellen, und klicken Sie auf Weiter.

    noteHinweis
    SSL sollte nicht mit OCSP verwendet werden.

  6. Geben Sie den Namen ein, der von Clients zum Herstellen einer Verbindung mit dem Online-Responder verwendet wird. Dabei handelt es sich um den Computernamen des Servers mit ISA Server oder um einen DNS-Alias, der so eingerichtet ist, dass er auf den Server mit ISA Server zeigt.

  7. Wenn Sie die Veröffentlichungsregel nur auf OCSP-Weiterleitungsanfragen begrenzen möchten, geben Sie ocsp/* in das Feld Pfad ein.

  8. Wenn Sie ISA Server für den Lastenausgleich verwenden, wählen Sie eine vorhandene Serverfarm aus, oder erstellen Sie eine neue Serverfarm.

  9. Wenn Sie eine neue Serverfarm erstellen möchten, klicken Sie auf Neu, um den Assistenten für neue Serverfarmen zu starten. Geben Sie einen Namen für die neue Serverfarm ein, und klicken Sie auf Weiter.

  10. Klicken Sie auf Hinzufügen, um Server anhand von Namen oder IP-Adressen hinzuzufügen.

  11. Lassen Sie die Standardeinstellungen für die Konnektivitätsüberwachung unverändert, und klicken Sie auf Weiter.

  12. Klicken Sie auf Fertig stellen, um den Assistenten zu schließen.

  13. Geben Sie in das Feld Öffentlicher Name den voll qualifizierten Domänennamen (Fully Qualified Domain Name, FQDN) oder die IP-Adresse für den Online-Responder ein.

  14. Klicken Sie in der Liste Weblistener auf einen Weblistener. Wenn noch kein Weblistener eingerichtet ist, klicken Sie auf Neu, um den Assistenten für neue Weblistener zu starten.

  15. Geben Sie einen Namen für den Weblistener ein, und klicken Sie auf Weiter.

  16. Klicken Sie auf Keine sicheren SSL-Verbindungen mit Clients erforderlich.

    noteHinweis
    SSL sollte nicht mit OCSP verwendet werden.

  17. Aktivieren Sie das Kontrollkästchen Alle Netzwerke (und lokaler Host), um zuzulassen, dass alle Netzwerkcomputer eine Verbindung mit dem Online-Responderdienst herstellen können, und klicken Sie auf Weiter.

  18. Klicken Sie in der Liste Legen Sie fest, wie die Clients die Anmeldeinformationen an ISA Server übermitteln sollen auf Keine Authentifizierung, und klicken Sie dann auf Weiter.

    noteHinweis
    Der Online-Responderdienst ist für den anonymen Zugriff gedacht.

  19. Klicken Sie auf Weiter.

    noteHinweis
    Da keine Authentifizierungseinstellungen bereitgestellt werden, müssen keine Einstellungen für einmaliges Anmelden konfiguriert werden.

  20. Klicken Sie auf Fertig stellen, um den Assistenten zu schließen.

  21. Klicken Sie auf der Seite Weblistener auswählen auf Weiter.

  22. Klicken Sie auf der Seite Authentifizierungsdelegierung auf Weiter.

  23. Klicken Sie auf der Seite Benutzersätze auf Weiter.

  24. Klicken Sie auf Fertig stellen, um den Assistenten zu schließen.

  25. Klicken Sie nach dem Fertigstellen des Assistenten auf Übernehmen, um die neue Richtlinie zu aktivieren.

  26. Klicken Sie nach dem Anwenden der Regeln auf OK, um das Dialogfeld zu schließen.

Bereitstellen des Online-Responders von Microsoft

Das Bereitstellen des Online-Responders umfasst drei Schritte:

  • Installieren des Online-Responderdiensts

  • Vorbereiten der Umgebung

  • Konfigurieren des Online-Responders

Installieren des Online-Responderdiensts

Online-Responder sollten nach den Zertifizierungsstellen und vor den Endeinheitszertifikaten bereitgestellt werden. Weitere Informationen zum Server-Manager und zur Bereitstellung von Zertifizierungsstellen finden Sie im Artikel zu Zertifizierungsstellenerweiterungen für Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=83212, möglicherweise in englischer Sprache).

  1. Zeigen Sie im Startmenü auf Verwaltung, und klicken Sie dann auf Server-Manager.

    Abbildung 4: Server-Manager

    Server-Manager
  2. Wenn der Online-Responder auf einem Computer ohne andere AD CS-Rollendienste installiert wird, klicken Sie auf der Hauptseite auf Rollen hinzufügen.

    noteHinweis
    Wenn der Online-Responder auf einem Computer installiert wird, auf dem die Zertifizierungsstelle oder eine ihrer Komponenten bereits installiert ist, wählen Sie im linken Bereich den Knoten Active Directory-Zertifikatdienste aus, und klicken Sie dann auf der Hauptseite auf Rollendienste hinzufügen.

  3. Aktivieren Sie auf der Seite Serverrollen auswählen des Assistenten zum Hinzufügen von Rollen das Kontrollkästchen Active Directory-Zertifikatdienste, und klicken Sie dann auf Weiter.

    Abbildung 5: Auswählen von Serverrollen

    Rollendienst für Online-Antwortdienst hinzufügen
  4. Aktivieren Sie auf der Seite Rollendienste auswählen (Abbildung 6) das Kontrollkästchen Online Certificate Status-Protokoll.

    Abbildung 6: Auswählen von Rollendiensten

    AD CS-Serverrolle hinzufügen Da IIS für den Online-Responder erforderlich ist, werden Sie zum Installieren der IIS-Rollendienste aufgefordert (Abbildung 7). Die folgenden IIS-Features sind für die ordnungsgemäße Funktionsweise des Online-Responders erforderlich:

    Webserver

    Allgemeine HTTP-Features

    • Statischer Inhalt

    • Standarddokument

    • Verzeichnissuche

    • HTTP-Fehler

    • HTTP-Umleitung

    Anwendungsentwicklung

    • .NET-Erweiterbarkeit

    • ISAPI-Erweiterungen

    Integrität und Diagnose

    • HTTP-Protokollierung

    • Protokollierungstools

    • Anforderungsmonitor

    • Nachverfolgung

    Sicherheit

    • Anforderungsfilterung

    Leistung

    • Komprimierung statischer Inhalte

    Verwaltungstools

    • IIS-Verwaltungskonsole

    • IIS 6-Verwaltungskompatibilität

    • IIS 6-Metabasiskompatibilität

  5. Klicken Sie auf Erforderliche Rollendienste hinzufügen, um die erforderlichen IIS-Dienste zu installieren, und klicken Sie auf Weiter.

    Abbildung 7: Hinzufügen erforderlicher Rollendienste

    OCSP- and IIS-Dienste hinzufügen
  6. In den nächsten beiden Schritten können Sie die Rollendienste für den Webserver (IIS) auswählen. Klicken Sie zweimal auf Weiter.

  7. Klicken Sie auf der Seite Installationsoptionen bestätigen (Abbildung 8) auf Installieren.

    Abbildung 8: Bestätigen der Installationsoptionen

    IIS Optionen installieren
    noteHinweis
    Der IIS-Installationsvorgang kann viel Zeit in Anspruch nehmen.

    Abbildung 9: Installationsfortschritt

    Installationsoptionen bestätigen
  8. Nach Abschluss der Installation wird der Status des Installationsvorgangs auf der Seite Installationsergebnisse angezeigt.

    Abbildung 10: Installationsergebnisse

    Installationsbestätigung
  9. Klicken Sie auf Schließen.

Als Teil des Einrichtungsvorgangs wird in IIS ein virtuelles Verzeichnis mit dem Namen OCSP erstellt, und der als ISAPI-Erweiterung verwendete Webproxy wird registriert. Sie können den Webproxy mit einem der folgenden Befehle manuell registrieren bzw. seine Registrierung aufheben:

certutil –vocsproot

certutil –vocsproot delete

Vorbereiten der Umgebung

Die Vorbereitung der Umgebung umfasst die folgenden Schritte:

  • Konfigurieren der Zertifizierungsstelle

  • Konfigurieren der Signaturzertifikatvorlage für OCSP-Antworten

  • Registrieren für ein OCSP-Antwortsignaturzertifikat bei einer eigenständigen Zertifizierungsstelle

  • Verwenden eines Hardwaresicherheitsmoduls (HSM) zum Schützen von OCSP-Signaturschlüsseln

Konfigurieren der Zertifizierungsstellen

Sie müssen die Zertifizierungsstellen so konfigurieren, dass die URL des Online-Responders als Teil der Erweiterung des Stelleninformationszugriffs der ausgestellten Zertifikate enthalten ist. Die URL wird vom OCSP-Client zum Überprüfen des Zertifikatstatus verwendet.

So konfigurieren Sie die Erweiterung des Stelleninformationszugriffs

  1. Öffnen Sie das Zertifizierungsstellen-Snap-In, klicken Sie mit der rechten Maustaste auf die ausstellende Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften.

  2. Klicken Sie auf die Registerkarte Erweiterungen.

  3. Klicken Sie in der Liste Erweiterung auswählen auf Zugriff auf Stelleninformationen (Abbildung 11), und klicken Sie dann auf Hinzufügen.

    Abbildung 11: Zertifizierungsstelleneigenschaften

    AIA-Eigenschaften hinzufügen
  4. Geben Sie in das Dialogfeld Ort hinzufügen (Abbildung 12) die vollständige URL des Online-Responders im folgenden Format ein: http://<DNS-Servername>/<Virtuelles Verzeichnis>

    noteHinweis
    Das beim Installieren des Online-Responders in IIS verwendete virtuelle Standardverzeichnis heißt OCSP.

    Abbildung 12: Ort hinzufügen (Dialogfeld)

    AIA für OCSP konfigurieren
  5. Klicken Sie auf OK.

  6. Wählen Sie einen Ort aus der Liste Ort aus.

  7. Aktivieren Sie das Kontrollkästchen In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen, und klicken Sie dann auf OK.

Konfigurieren der Signaturzertifikatvorlage für OCSP-Antworten

Der Online-Responder kann OCSP-Antworten mit dem Schlüssel der ausstellenden Zertifizierungsstelle oder einem dedizierten Signaturschlüssel signieren. Ein Signaturzertifikat weist folgende Attribute auf:

  • Es hat einen kurzen Gültigkeitszeitraum. (Empfohlen wird ein Gültigkeitszeitraum von zwei Wochen.)

  • Es enthält die Erweiterung id-pkix-ocsp-nocheck.

  • Es enthält keine Erweiterungen für Zertifikatsperrlisten-Verteilungspunkte und den Stelleninformationszugriff.

  • Es enthält die erweiterte Schlüsselverwendung (Enhanced Key Usage, EKU) id-kp-OCSPSigning.

  • Die Schritte zum Konfigurieren der OCSP-Antwortsignaturvorlage im Betriebssystem Windows Server 2003 unterscheiden sich von den Schritten in Windows Server 2008.

noteHinweis
In Windows Server 2008 wird eine Vorlage der Version 3 eingeführt. Die neue Vorlagenversion ermöglicht neben anderen Verbesserungen erweiterte Kryptografieunterstützung. Weitere Informationen finden Sie im Artikel zu Zertifizierungsstellenerweiterungen für Windows Server 2008 (http://go.microsoft.com/fwlink/?LinkID=83212, möglicherweise in englischer Sprache).

Konfigurieren der Signaturzertifikatvorlage für OCSP-Antworten bei Verwendung einer Windows Server 2008-basierten Zertifizierungsstelle

In Windows Server 2008 wurde den verfügbaren Vorlagen in den Active Directory-Domänendiensten (Active Directory Domain Services, AD DS) eine neue Zertifikatvorlage hinzugefügt. Bei der neuen Vorlage mit dem Namen OCSP-Antwortsignatur handelt es sich um eine Vorlage der Version 3, die mit den weiter oben genannten erforderlichen Erweiterungen und Attributen vorkonfiguriert ist. Es sind keine Änderungen an der Vorlage oder der Zertifizierungsstelle erforderlich.

Abbildung 13 veranschaulicht den Fluss, der das Verhalten des Richtlinienmoduls in Windows Server 2008 beim Verarbeiten einer Anforderung für das OCSP-Antwortsignaturzertifikat bestimmt.

Abbildung 13: Anforderungsverarbeitung für das OCSP-Antwortsignaturzertifikat

Prozess einer OCSP-Signaturzertifikatsanforderung

Das Flag EDITF_ENABLEOCSPREVNOCHECK ist ein neues Zertifizierungsstellen-Registrierungsflag, das in der Windows Server 2008-basierten Zertifizierungsstelle eingeführt wurde. Das standardmäßig nicht aktivierte neue Flag ermöglicht dem Zertifizierungsstellen-Richtlinienmodul das Ausstellen von Zertifikaten, die die Erweiterung id-pkix-ocsp-nocheck enthalten. Die neue OCSP-Antwortsignaturvorlage enthält außerdem ein weiteres Flag mit dem Namen CT_FLAG_ADDREVNOCHECK, mit dem das Richtlinienmodul angewiesen wird, die Erweiterung id-pkix-ocsp-nocheck hinzuzufügen. Wenn entweder das Flag EDITF_ENABLEOCSPREVNOCHECK aktiviert ist oder die Vorlage das Flag CT_FLAG_ADDREVNOCHECK enthält, sucht das Richtlinienmodul in der Anforderung und in der Vorlage nach einer OCSP-Signatur-EKU. Wenn beide Bedingungen erfüllt sind, fügt das Richtlinienmodul die Erweiterung id-pkix-ocsp-nocheck hinzu und entfernt die Erweiterungen für den Stelleninformationszugriff und für Zertifikatsperrlisten-Verteilungspunkte aus dem Zertifikat. Auf diese Weise kann die Windows Server 2008-basierte Zertifizierungsstelle ein OCSP-Antwortsignaturzertifikat von einer Unternehmenszertifizierungsstelle sowie von einer eigenständigen Zertifizierungsstelle ausstellen.

Wenn eine Unternehmenszertifizierungsstelle verwendet wird, ist keine zusätzliche Konfiguration erforderlich. Sie müssen nur für die Zertifizierungsstelle das Ausstellen von auf der OCSP-Antwortsignaturvorlage basierenden Zertifikaten aktivieren. Bei Verwendung einer eigenständigen Zertifizierungsstelle sollten zum Aktivieren oder Deaktivieren des Flags EDITF_ENABLEOCSPREVNOCHECK für die Zertifizierungsstelle die folgenden Befehle verwendet werden.

Zum Aktivieren des Flags führen Sie den folgenden Befehl aus:

certutil -v -setreg policy\editflags +EDITF_ENABLEOCSPREVNOCHECK

Zum Deaktivieren des Flags führen Sie den folgenden Befehl aus:

certutil –v –setreg policy\editflags –EDITF_ENABLEOCSPREVNOCHECK

Nach dem Aktivieren oder Deaktivieren des Flags muss die Zertifizierungsstelle neu gestartet werden, damit die Änderungen wirksam werden.

Konfigurieren der Signaturzertifikatvorlage für OCSP-Antworten bei Verwendung einer Windows Server 2003-basierten Zertifizierungsstelle

Einer der Nachteile von Zertifikatvorlagen besteht darin, dass keine benutzerdefinierten Erweiterungen hinzugefügt werden können. Dadurch entstehen Probleme beim Erstellen und Konfigurieren der OCSP-Antwortsignaturvorlage in Windows Server 2003 und beim Hinzufügen der Erweiterung id-pkix-ocsp-nocheck. Mit den folgenden Verfahren können Sie die OCSP-Antwortsignaturvorlage für eine Windows Server 2003-Zertifizierungsstelle verwenden.

So konfigurieren Sie die Zertifikatvorlage für die Verwendung für eine Windows Server 2003-Zertifizierungsstelle

  1. Öffnen Sie das Zertifikatvorlagen-Snap-In.

    noteHinweis
    Das Snap-In muss in Windows Server 2008 geöffnet werden. Dies ist erforderlich, da nur die neue Version des Snap-Ins die neuen Vorlagen der Version 3 unterstützt und die Duplizierung von Vorlagen der Version 3 ermöglicht.

  2. Klicken Sie mit der rechten Maustaste auf die Vorlage OCSP-Antwortsignatur, und klicken Sie dann auf Duplizieren. Das Dialogfeld Doppelte Vorlage (Abbildung 14) wird geöffnet.

    Abbildung 14: Doppelte Vorlage (Dialogfeld)

    Doppelte Vorlage für OCSP-Antwortsignatur
  3. Klicken Sie auf Windows Server 2003 Enterprise Edition, und klicken Sie dann auf OK. Daraufhin wird eine Vorlage der Version 2 erstellt, die von der Windows Server 2003-basierten Zertifizierungsstelle ausgestellt werden kann und dennoch die Erweiterung id-pkix-ocsp-nocheck enthält.

Als Nächstes muss die Zertifizierungsstelle so konfiguriert werden, dass benutzerdefinierte Erweiterungen in Zertifikatanforderungen eingeschlossen werden können.

So konfigurieren Sie die Windows Server 2003-Zertifizierungsstelle

  1. Öffnen Sie auf dem Zertifizierungsstellencomputer eine Eingabeaufforderung, und geben Sie den folgenden Befehl ein:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
    
  2. Starten Sie den Zertifizierungsstellendienst neu, indem Sie die folgenden Befehle eingeben:

    net stop certsvc net start certsvc
    

Die Zertifizierungsstelle ist jetzt so konfiguriert, dass OCSP-Antwortsignaturzertifikate ausgestellt werden.

Konfigurieren der Berechtigungen für OCSP-Antwortsignaturvorlagen bei Verwendung einer Windows Server 2008- oder Windows Server 2003-basierten Zertifizierungsstelle

Wie bei allen Vorlagen müssen die Registrierungsberechtigungen für Lesen, Registrieren, Automatisch registrieren, Schreiben und Vollzugriff konfiguriert werden.

So konfigurieren Sie die Vorlagensicherheitseinstellungen, um Online-Respondern das Registrieren für Signaturzertifikate zu ermöglichen

  1. Öffnen Sie das Zertifikatvorlagen-Snap-In.

  2. Doppelklicken Sie auf die Vorlage OCSP-Antwortsignatur oder auf ein erstelltes Duplikat, und klicken Sie dann auf die Registerkarte Sicherheit.

  3. Fügen Sie die Online-Respondercomputer der Liste der Gruppen- oder Benutzernamen hinzu.

  4. Aktivieren Sie das Kontrollkästchen Zulassen für die Berechtigungen Lesen und Registrieren, um Online-Respondern das Registrieren für das OCSP-Antwortsignaturzertifikat zu ermöglichen.

noteHinweis
Die Berechtigung Automatisch registrieren wird vom Online-Responder nicht verwendet, da dieser über eine separate Implementierung der automatischen Registrierung verfügt. Diese wird weiter unten in diesem Dokument ausführlich erläutert. Die standardmäßige Implementierung der automatischen Registrierung in Windows sieht vor, dass mit einer Vorlage nur ein Zertifikat pro Client ausgestellt wird. Standardmäßig wird mit der automatischen Registrierung in Windows nur eines der auf dem Online-Respondercomputer verfügbaren Signaturzertifikate erneuert, und die übrigen werden archiviert. In manchen Fällen wird bei der automatischen Registrierung in Windows nicht die ursprüngliche Zertifizierungsstelle verwendet, von der das Zertifikat für die Erneuerung ausgestellt wurde. Dieses Verhalten wird vom Online-Responder nicht erwartet, da für ihn die Erneuerung durch die gleiche Zertifizierungsstelle erforderlich ist.

Zuweisen einer OCSP-Antwortsignaturvorlage zu einer Zertifizierungsstelle

Sobald die Vorlagen ordnungsgemäß konfiguriert sind, muss die Zertifizierungsstelle zum Ausstellen der entsprechenden Vorlage konfiguriert werden.

So konfigurieren Sie die Zertifizierungsstelle zum Ausstellen von auf der neu erstellten OCSP-Antwortsignaturvorlage basierenden Zertifikaten

  1. Öffnen Sie das Zertifizierungsstellen-Snap-In.

  2. Klicken Sie mit der rechten Maustaste auf Zertifikatvorlagen, klicken Sie auf Neu, und klicken Sie dann auf Auszustellende Zertifikatvorlage.

  3. Klicken Sie in der Liste der verfügbaren Vorlagen auf die Vorlage OCSP-Antwortsignatur, und klicken Sie dann auf OK.

Registrieren für ein OCSP-Antwortsignaturzertifikat

Aus Gründen der höheren Sicherheit wird der Online-Responder mit den Berechtigungen des Netzwerkdiensts ausgeführt. Daher verfügt er nicht standardmäßig über Zugriff auf private Schlüssel des Computers, und Berechtigungen für private Schlüssel, auf die der Online-Responder zugreifen können muss, müssen entsprechend geändert werden. Eine in Vorlagen der Version 3 neu eingeführte Funktionalität ermöglicht es dem Registrierungsclient, als Teil des Registrierungsprozesses Berechtigungen für Computerschlüssel zu konfigurieren, um als Netzwerkdienst ausgeführten Diensten den Zugriff zu ermöglichen. Diese Funktionalität ist nur in Windows Vista und Windows Server 2008 verfügbar.

Durch die neue OCSP-Antwortsignaturvorlage der Version 3 wird diese Funktionalität standardmäßig aktiviert, sodass der Registrierungsclient die Berechtigungen für den privaten Schlüssel automatisch ändern kann, um dem Netzwerkdienst Lesezugriff auf den privaten OCSP-Signaturschlüssel zu ermöglichen.

Solange eine Windows Server 2008-basierte Zertifizierungsstelle zum Ausstellen eines auf der OCSP-Antwortsignaturvorlage basierenden Zertifikats oder eines Duplikats dieser Vorlage verwendet wird, ist keine zusätzliche Konfiguration erforderlich.

Wenn eine Windows Server 2003, Enterprise Edition-basierte Zertifizierungsstelle verwendet wird, müssen die Berechtigungen für den privaten OCSP-Signaturschlüssel auf dem Online-Respondercomputer manuell konfiguriert werden, damit der Online-Responderdienst auf den privaten Schlüssel zugreifen kann.

In Windows Vista und Windows Server 2008 wurde die Möglichkeit zum Ändern der Berechtigungen für private Schlüssel dem Zertifikate-Snap-In hinzugefügt.

Das folgende Verfahren ist nur erforderlich, wenn eine Windows Server 2003-basierte Zertifizierungsstelle zum Ausstellen von OCSP-Signaturzertifikaten verwendet wird.

So konfigurieren Sie die Berechtigungen für private Schlüssel für ein von einer Windows Server 2003-basierten Zertifizierungsstelle ausgestelltes OCSP-Signaturzertifikat

  1. Öffnen Sie auf dem Online-Respondercomputer das Zertifikate-Snap-In für den lokalen Computer.

  2. Wählen Sie in der Liste der verfügbaren Zertifikate das Zertifikat OCSP-Antwortsignatur aus.

    noteHinweis
    Das Signaturzertifikat muss zuerst manuell registriert werden.

  3. +Zeigen Sie im Menü Aktionen auf Alle Aufgaben, klicken Sie auf Private Schlüssel verwalten, und klicken Sie dann auf Hinzufügen.

  4. Geben Sie network service ein, und klicken Sie dann auf OK.

  5. Vergewissern Sie sich, dass für den Netzwerkdienst nur die Berechtigung Lesen zugelassen ist, und klicken Sie dann auf OK.

  6. Starten Sie den Online-Responderdienst neu, indem Sie die folgenden Befehle an einer Eingabeaufforderung eingeben:

    net stop ocspsvc net start ocspsvc
    
noteHinweis
Die oben genannten Schritte gelten nur, wenn die Sperrkonfiguration des Online-Responders auf die manuelle Registrierung des OCSP-Antwortsignaturzertifikats festgelegt ist. Wenn die Sperrkonfiguration für automatische OCSP-Registrierung konfiguriert ist, verfügen die privaten Schlüssel standardmäßig über die richtigen Berechtigungen, und die oben genannten Schritte sind nicht erforderlich.

noteHinweis
Wenn die Sperrkonfiguration auf die Verwendung der automatischen OCSP-Registrierung festgelegt ist und eine Windows Server 2003-basierte Zertifizierungsstelle verwendet wird, sind für die Erneuerung von OCSP-Signaturzertifikaten die unten genannten zusätzlichen Schritte erforderlich.

Erneuern von OCSP-Antwortsignaturzertifikaten

Wenn die anfängliche Zertifikatregistrierung abgeschlossen und die richtige Zugriffssteuerungsliste (Access Control List, ACL) für den Schlüssel festgelegt ist, können OCSP-Antwortsignaturzertifikate mit einer Einschränkung ähnlich wie alle anderen Zertifikate erneuert werden. Die Einschränkung besteht darin, dass Sie zwischen dem Zeitpunkt der Erneuerung des Zertifizierungsstellenzertifikats und dem Ablaufdatum des erneuerten Zertifizierungsstellenzertifikats das richtige Verfahren zum Erneuern des OCSP-Antwortsignaturzertifikats ausführen müssen. Das Problem entsteht dadurch, dass der gleiche Zertifizierungsstellenschlüssel, der zum Signieren ausgestellter Zertifikate verwendet wurde, auch zum Signieren der OCSP-Antwortsignaturzertifikate verwendet werden muss. Da dieser Schlüssel in der Zertifizierungsstelle nicht mehr verfügbar ist, können keine Signaturzertifikate ausgestellt werden.

Abbildung 15 veranschaulicht das Problem. OCSP-Antwortsignaturzertifikate (S1, S2) müssen mit dem gleichen Schlüssel (k1) signiert werden, der zum Signieren der Endeinheitszertifikate (C1, C2) verwendet wurde, deren Status sie bereitstellen. Nachdem der Zertifizierungsstellenschlüssel erneuert wurde (t1), wird dieser neue Schlüssel (k2) von der Zertifizierungsstelle zum Signieren neu ausgestellter Zertifikate verwendet. Im Zeitraum zwischen der Erneuerung des Zertifizierungsstellenzertifikats (t1) und dem Ablaufdatum des erneuerten Zertifizierungsstellenzertifikats (t2) kann die Zertifizierungsstelle keine OCSP-Antwortsignaturzertifikate ausstellen oder erneuern, die zum Signieren von OCSP-Antworten für vorhandene gültige Zertifikate (C1, C2) verwendet werden können.

Abbildung 15: Erneuerungsproblem bei OCSP-Antwortsignaturzertifikaten

Problem mit OCSP-Zertifikaterneuerung

Diese Einschränkung wurde umgangen, indem die Windows Server 2008-basierte Zertifizierungsstelle so aktualisiert wurde, dass sie die Erneuerung von OCSP-Antwortsignaturzertifikaten mithilfe vorhandener Schlüssel zulässt. Dieses Feature ist standardmäßig nicht aktiviert. Verwenden Sie das folgende Verfahren, um die Erneuerung von OCSP-Antwortsignaturzertifikaten mithilfe vorhandener Zertifizierungsstellenschlüssel zuzulassen.

So lassen Sie die Erneuerung von OCSP-Antwortsignaturzertifikaten mithilfe vorhandener Zertifizierungsstellenschlüssel zu

  1. Öffnen Sie auf dem Zertifizierungsstellencomputer eine Eingabeaufforderung, und geben Sie Folgendes ein:

    certutil -setreg ca\UseDefinedCACertInRequest 1 
    
  2. Drücken Sie die EINGABETASTE.

  3. Starten Sie den Zertifizierungsstellendienst neu.

Bei Verwendung einer Windows Server 2003-basierten Zertifizierungsstelle ist es nicht möglich, OCSP-Antwortsignaturzertifikate zu erneuern, nachdem das Zertifizierungsstellenzertifikat erneuert wurde. Diese Einschränkung können Sie umgehen, indem Sie n OCSP-Signaturzertifikate für die einzelnen Online-Respondercomputer über die Windows 2003-basierte Zertifizierungsstelle ausstellen. Dabei gilt: n = (Anzahl der Wochen bis zum Ablaufdatum des Zertifizierungsstellenschlüssels)/2.

noteHinweis
Dieses Verfahren muss vor dem Erneuern des Zertifizierungsstellenzertifikats ausgeführt werden.

Der Gültigkeitszeitraum aller ausgestellten Zertifikate sollte zwei Wochen länger als der vorherige sein. Beispiel:

  • Signaturzertifikat 1: Gültig von JETZT bis JETZT+2 Wochen

  • Signaturzertifikat 2: Gültig von JETZT bis JETZT+4 Wochen

  • Signaturzertifikat 3: Gültig von JETZT bis JETZT+6 Wochen

Der Online-Responderdienst wählt zuerst das Signaturzertifikat mit dem kürzeren Gültigkeitszeitraum aus und verwendet es, bis es abläuft.

Registrieren für ein OCSP-Antwortsignaturzertifikat bei einer eigenständigen Zertifizierungsstelle

Da eigenständige Zertifizierungsstellen die zum Erstellen eines OCSP-Antwortsignaturzertifikats erforderlichen Zertifikatvorlagen der Version 2 oder 3 nicht unterstützen, müssen Sie manuell eine Anforderung für ein OCSP-Antwortsignaturzertifikat erstellen und senden. Verwenden Sie zum Registrieren für ein OCSP-Antwortsignaturzertifikat bei einer eigenständigen Zertifizierungsstelle das folgende Verfahren.

So registrieren Sie sich für ein OCSP-Antwortsignaturzertifikat bei einer eigenständigen Zertifizierungsstelle

  1. Zeigen Sie im Startmenü auf Alle Programme, klicken Sie auf Zubehör, und klicken Sie dann auf Editor.

  2. Kopieren Sie die folgenden Anforderungsdaten, und fügen Sie sie in den Editor ein:

    [NewRequest] Subject = "CN=testca,O=Contoso,OU=nt" PrivateKeyArchive = FALSE Exportable = TRUE UserProtected = FALSE MachineKeySet = TRUE ProviderName = "Microsoft Enhanced Cryptographic Provider v1.0" UseExistingKeySet = FALSE RequestType = PKCS10 [EnhancedKeyUsageExtension] object identifer="1.3.6.1.5.5.7.3.9" [Extensions] 1.3.6.1.5.5.7.48.1.5 = Empty
    
  3. Speichern Sie die Datei unter dem Namen ocsp.inf.

  4. Schließen Sie den Editor.

  5. Geben Sie an einer Eingabeaufforderung Folgendes ein:

    certreq.exe –New ocsp.inf ocsp.req certreq.exe –Submit ocsp.req ocsp.cer certreq.exe –Accept ocsp.cer
    

Nach Abschluss des Registrierungsprozesses müssen Sie die Zugriffssteuerungsliste des privaten Schlüssels ändern, um dem Online-Responderdienst den Zugriff auf den privaten Schlüssel zu ermöglichen. Die erforderlichen Schritte zum Konfigurieren von Berechtigungen für private Schlüssel finden Sie unter Konfigurieren der Signaturzertifikatvorlage für OCSP-Antworten.

Verwenden eines Hardwaresicherheitsmoduls (HSM) zum Schützen von OCSP-Signaturschlüsseln

Die folgenden Konfigurationsschritte sind erforderlich, wenn zum Schützen der OCSP-Signaturschlüssel ein HSM (oder eine Smartcard) verwendet wird.

Ändern der Anmeldeinformationen des Online-Responderdiensts

Der Online-Responderdienst verwendet standardmäßig die Anmeldeinformationen des Netzwerkdiensts. Die Dienstanmeldeinformationen müssen in Lokales System geändert werden, um die Interaktion zwischen dem Online-Responderdienst und einem HSM zu ermöglichen. Verwenden Sie die folgenden Schritte, um die Anmeldeinformationen des Online-Responderdiensts zu konfigurieren.

So konfigurieren Sie die Anmeldeinformationen des Online-Responderdiensts

  1. Öffnen Sie das Dienste-Snap-In.

  2. Klicken Sie mit der rechten Maustaste auf den Dienst Online-Responder, und klicken Sie auf Eigenschaften.

  3. Klicken Sie auf die Registerkarte Anmelden.

  4. Klicken Sie auf das Konto Lokales System.

  5. Aktivieren Sie das Kontrollkästchen Datenaustausch zwischen Dienst und Desktop zulassen, und klicken Sie auf OK.

Konfigurieren der OCSP-Antwortsignaturvorlage

Wenn Sie zum Schützen der OCSP-Signaturschlüssel ein HSM verwenden, müssen Sie auch die OCSP-Antwortsignaturvorlage so konfigurieren, dass der Kryptografiedienstanbieter (Cryptographic Service Provider, CSP) oder CNG-Anbieter (Cryptography Next Generation) der CryptoAPI des HSMs verwendet wird. Wenn nur ein CryptoAPI-Kryptografiedienstanbieter verfügbar ist, müssen Sie die OCSP-Antwortsignaturvorlage der Version 3 duplizieren und eine neue Vorlage der Version 2 erstellen, die CryptoAPI-Kryptografiedienstanbieter unterstützt. Weitere Informationen zu den erforderlichen Schritten zum Erstellen einer Vorlage der Version 2 finden Sie unter "Konfigurieren der Signaturzertifikatvorlage für OCSP-Antworten bei Verwendung der Windows Server 2003-basierten Zertifizierungsstelle" im Abschnitt Konfigurieren der Signaturzertifikatvorlage für OCSP-Antworten.

Konfigurieren des Online-Responders

Die Verwaltungstools des Online-Responders ermöglichen die zentrale Überwachung und Konfiguration für die Online-Responderbereitstellung. Dabei spielt es keine Rolle, ob der Online-Responder auf einem einzelnen Computer, in einem Clusterarray oder in mehreren Clusterarrays bereitgestellt wird.

Zu den in allen Versionen von Windows Server 2008 standardmäßig installierten Verwaltungstools gehört das Online-Responder-Snap-In (Abbildung 16), das die gesamte erforderliche Funktionalität zum Verwalten eines Online-Responders bereitstellt.

Abbildung 16: Online-Responder-Snap-In

Online-Antwortdienst-Snap-In

Die Konsolenstruktur des Online-Responders enthält die folgenden Ansichten:

  • Online-Responder. Diese Ansicht enthält allgemeine Informationen zum Konfigurationsstatus des Online-Responders und ermöglicht das Konfigurieren von Online-Respondereigenschaften.

  • Sperrkonfiguration. In dieser Ansicht können Sie Sperrkonfigurationen hinzufügen, ändern und löschen. Weitere Informationen zu Sperrkonfigurationen finden Sie unter Verwalten von Sperrkonfigurationen.

  • Arraykonfiguration. In dieser Ansicht können Sie Online-Responderarraymitglieder konfigurieren, überwachen und Problembehandlungen für sie ausführen. Weitere Informationen zu Arraykonfigurationen finden Sie unter Verwalten von Arraymitgliedern.

Konfigurieren von Online-Respondereigenschaften

Für den Online-Responder wird ein Satz konfigurierbarer Eigenschaften bereitgestellt, die für den gesamten Online-Responder und den Betrieb des Online-Responderdiensts gelten.

Zum Öffnen des Dialogfelds Online-Responder klicken Sie im Menü Aktion auf Respondereigenschaften, oder klicken Sie im Bereich Aktion auf Respondereigenschaften.

Webproxyeinstellungen

Der Online-Responder-Webproxycache wird als von IIS gehostete ISAPI-Erweiterung implementiert. Die folgenden konfigurierbaren Einstellungen sind aktiviert (Abbildung 17).

  • Webproxy-Threads. Diese Einstellung bezieht sich auf die Anzahl der Threads, die von der Online-Responder-ISAPI-Erweiterung zur Behandlung von Anforderungen zugeordnet werden. Durch Erhöhung der Threadanzahl wird der Arbeitsspeicher des Servers stärker beansprucht. Durch Verringerung der Threadanzahl verringert sich die Anzahl der Clients, die gleichzeitig bedient werden können. Die zulässige Mindestanzahl für Threads ist fünf.

  • Zulässige Cacheeinträge. Der Cache wird als Teil der ISAPI-Erweiterung des Online-Responders implementiert und ist ein reiner In-Memory-Cache. Die empfohlene Cachegröße liegt zwischen 1.000 und 10.000 Einträgen. Eine geringe Cachegröße verursacht mehr Cachefehler und führt zu einer höheren Last für den Online-Responderdienst bei Such- und Signaturvorgängen. Ein großer Cache erhöht die Speicherauslastung des Online-Responders. Wenn das Zertifizierungsstellenzertifikat zum Signieren von Antworten verwendet wird, beträgt die Größe der Cacheeinträge im Speicher ca. 200 Byte; wenn ein delegiertes Signaturgeberzertifikat zum Signieren von Antworten verwendet wird, beträgt die Größe der Cacheeinträge im Speicher ca. 2 KB (bei einer angenommenen Schlüsselgröße von 1.024 Byte).

Abbildung 17: Webproxyeinstellungen

Antwortdiensteigenschaften
Überwachungseinstellungen

Um die Anforderungen der allgemeinen Kriterien für sichere Zertifikatausstellungssysteme einzuhalten und eine sichere Plattform bereitzustellen, werden bestimmte Ereignis- und Konfigurationseinstellungen im Windows-Sicherheitsereignisprotokoll aufgezeichnet. Mit dem Online-Responder können die folgenden Überwachungsereignisse konfiguriert werden (Abbildung 18).

  • Online-Responderdienst starten/anhalten. Jedes Starten und Anhalten des Online-Responderdiensts wird protokolliert.

  • Änderungen an der Konfiguration des Online-Responders. Sämtliche Änderungen der Online-Responderkonfiguration, einschließlich Änderungen der Überwachungseinstellungen, werden protokolliert.

  • Änderungen an den Sicherheitseinstellungen des Online-Responders. Sämtliche Änderungen an der Zugriffssteuerungsliste für Dienstanforderungs- und Verwaltungsschnittstellen des Online-Responders werden protokolliert.

  • An den Online-Responder gesendete Anforderungen. Sämtliche vom Online-Responderdienst verarbeiteten Anforderungen werden protokolliert. Diese Option kann zu einer hohen Auslastung des Diensts führen und sollte daher nur in einzelnen Fällen in Betracht gezogen werden. Beachten Sie, dass ausschließlich Anforderungen, die von einem Online-Responder signiert werden müssen, Überwachungsereignisse generieren. Anforderungen für vorher zwischengespeicherte Antworten werden nicht protokolliert.

Abbildung 18: Überwachungseinstellungen

Eigenschaften der Antwortdienstüberwachung

Überwachungsereignisse werden nur dann im Windows-Sicherheitsprotokoll aufgezeichnet, wenn die Richtlinie Objektzugriffsversuche überwachen aktiviert ist.

So aktivieren Sie die Richtlinie "Objektzugriffsversuche überwachen"

  1. Öffnen Sie den Editor für lokale Gruppenrichtlinien.

  2. Erweitern Sie unter Computerkonfiguration die Option Windows-Einstellungen, die Option Sicherheitseinstellungen und dann die Option Lokale Richtlinien, und klicken Sie dann auf Überwachungsrichtlinie.

  3. Doppelklicken Sie auf die Richtlinie Objektzugriffsversuche überwachen.

  4. Aktivieren Sie die Kontrollkästchen Erfolg und Fehler, und klicken Sie auf OK.

Sicherheitseinstellungen

Zu den Sicherheitseinstellungen für den Online-Responder gehören zwei Berechtigungseinträge, die für Benutzer und Dienste festgelegt werden können, um den Zugriff auf die Anforderungs- und Verwaltungsschnittstellen zuzulassen oder zu verweigern.

  • Online-Responder verwalten. Der Online-Responder macht eine Verwaltungsschnittstelle (IOCSPAdmin) verfügbar, über die administrative Aufgaben wie beispielsweise das Erstellen und Verwalten von Sperrkonfigurationen und das Ändern der globalen Einstellungen des Online-Responders ausgeführt werden können.

  • Proxyanforderungen. Der Online-Responder macht eine Anforderungsschnittstelle (IOCSPRequestD) verfügbar, über die die Online-Responder-Webproxykomponente Anforderungen für den Zertifikatstatus an den Online-Responderdienst senden kann. Diese Schnittstelle wird nicht von den Anwendungen verwendet, die die OCSP-Anforderung senden.

Verwalten von Sperrkonfigurationen

Sperrkonfigurationen enthalten einen Satz Definitionen, die es dem Online-Responder ermöglichen, eine signierte OCSP-Antwort bereitzustellen. Zu diesen Definitionen gehören das Zertifizierungsstellenzertifikat, das Signaturzertifikat und die Quelle der Sperrinformationen. Jede Sperrkonfiguration behandelt Anforderungen für ein bestimmtes Zertifizierungsstellen-Schlüsselpaar und -zertifikat. Dabei gelten folgende Regeln:

  • Für jede Zertifizierungsstelle, die so konfiguriert ist, dass die ausgestellten Zertifikate den Stelleninformationszugriff des Online-Responders enthalten, sollte eine separate Sperrkonfiguration erstellt werden.

  • Für jede Zertifizierungsstelle, die mit einem neuen Schlüsselpaar erneuert wird, sollte eine separate Sperrkonfiguration erstellt werden.

In der Ansicht Sperrkonfiguration können Sie Sperrkonfigurationen hinzufügen, ändern und löschen.

Erstellen einer Sperrkonfiguration

Dieser Abschnitt behandelt den Prozess beim Erstellen, Ändern und Löschen von Sperrkonfigurationen.

So erstellen Sie eine Sperrkonfiguration

  1. Klicken Sie im Menü Aktion oder im Bereich Aktionen auf Sperrkonfiguration hinzufügen.

    Der Assistent zum Hinzufügen einer Sperrkonfiguration wird angezeigt.

  2. Klicken Sie auf Weiter.

  3. Geben Sie in das Feld Name der Seite Sperrkonfiguration benennen einen Anzeigenamen für die Sperrkonfiguration ein (dieser soll das Identifizieren der Sperrkonfiguration unter den verfügbaren Sperrkonfigurationen erleichtern), und klicken Sie dann auf Weiter.

  4. Wählen Sie auf der Seite Pfad des Zertifizierungsstellenzertifikats auswählen den Pfad des Zertifizierungsstellenzertifikats aus, für das diese Sperrkonfiguration Zertifikatstatusantworten bereitstellt.

    Damit der Online-Responder den Status eines Zertifikats überprüft, muss in der Sperrkonfiguration die Zertifizierungsstelle identifiziert sein, von der das Zertifikat ausgestellt wurde. Die folgenden Optionen sind verfügbar:

    Abbildung 19: Auswählen des Pfads des Zertifizierungsstellenzertifikats

    Sperranbieterkonfiguration hinzufügen

    Zertifikat für eine vorhandene Unternehmenszertifizierungsstelle auswählen. Mit dieser Option können Sie das Zertifizierungsstellenzertifikat aus den in AD DS veröffentlichten verfügbaren Zertifizierungsstellenzertifikaten oder durch direktes Abfragen des Zertifikats bei einer bestimmten Zertifizierungsstelle auswählen. Wenn in Schritt 4 diese Option ausgewählt wird, fordert der Assistent den Benutzer auf, das Zertifizierungsstellenzertifikat auszuwählen, indem er in AD DS nach veröffentlichten Zertifizierungsstellen oder nach Zertifizierungsstellen-Computernamen sucht (Abbildung 20). Wenn Sie das Zertifizierungsstellenzertifikat identifiziert haben, können Sie die Zertifikatdetails überprüfen, indem Sie auf der Assistentenseite auf den Link Zertifizierungsstellenzertifikat anzeigen klicken.

    Abbildung 20: Auswählen eines Zertifizierungsstellenzertifikats

    Von der Sperrkonfiguration ausgewählte Zertifizierungsstelle hinzufügen

    Zertifikat aus dem lokalen Zertifikatspeicher auswählen. Mit dieser Option können Sie ein Zertifizierungsstellenzertifikat auswählen, indem Sie den Zertifikatspeicher auf dem aktuellen Computer durchsuchen. Wenn in Schritt 4 diese Option ausgewählt wird, fordert der Assistent den Benutzer auf, das Zertifizierungsstellenzertifikat auszuwählen, indem er den lokalen Zertifikatspeicher durchsucht.

    Zertifikat aus einer Datei importieren. Mit dieser Option können Sie eine Zertifikatdatei mit der Erweiterung *.cer auswählen. Wenn in Schritt 4 diese Option ausgewählt wird, fordert der Assistent den Benutzer auf, das Zertifizierungsstellenzertifikat auszuwählen, indem er das Dateisystem nach einer Zertifikatdatei mit der Erweiterung *.cer durchsucht.

  5. Auf der Seite Signierendes Zertifikat auswählen (Abbildung 21) muss das Signaturzertifikat für jede einzelne Sperrkonfiguration angegeben werden. Die folgenden Optionen sind verfügbar:

    Signaturzertifikat automatisch auswählen. Wenn diese Option ausgewählt ist, durchsucht der Online-Responder automatisch den persönlichen Zertifikatspeicher für den Computer, auf dem der Online-Responder gehostet wird, nach einem Zertifikat, das den folgenden Bedingungen entspricht:

    • Das Zertifikat verfügt über eine OCSP-Signatur-EKU.

    • Das Zertifikat wurde von der in Schritt 4 ausgewählten Zertifizierungsstelle ausgestellt.

    • Das Zertifikat ist gültig.

    • Das Zertifikat verfügt über einen entsprechenden privaten Schlüssel.

    Wenn mehrere Signaturzertifikate verfügbar sind, wird das Zertifikat mit dem kürzesten Gültigkeitszeitraum ausgewählt.

    Mithilfe des Kontrollkästchens Automatisch für ein OCSP-Signaturzertifikat registrieren können Sie den Online-Responder so konfigurieren, dass OCSP-Antwortsignaturzertifikate für die angegebene Sperrkonfiguration automatisch registriert und erneuert werden. Wenn die in Schritt 4 ausgewählte Zertifizierungsstelle zum Ausstellen der OCSP-Antwortsignaturvorlage konfiguriert ist, wird dieses Kontrollkästchen aktiviert, und die Felder Zertifizierungsstelle und Zertifikatvorlage werden automatisch ausgefüllt. Anderenfalls wird das Kontrollkästchen Automatisch für ein OCSP-Signaturzertifikat registrieren nicht aktiviert.

    noteHinweis
    Wenn die automatische Registrierungsfunktionalität des Online-Responders aktiviert ist, werden die registrierten Zertifikate im Zertifikatspeicher für den Online-Responderdienst und nicht im Zertifikatspeicher des lokalen Computers gespeichert. Mithilfe des folgenden Verfahrens können Sie das Signaturzertifikat für die aktuelle Konfiguration anzeigen.

    Verwenden Sie die folgenden Schritte, um das Signaturzertifikat für die aktuelle Konfiguration anzuzeigen:

    1. Öffnen Sie das Zertifikate-Snap-In.

    2. Klicken Sie auf Dienstkonto, und klicken Sie dann auf Weiter.

    3. Klicken Sie auf Lokaler Computer, und klicken Sie dann auf Weiter.

    4. Wählen Sie den Online-Responderdienst aus der Liste der verfügbaren Dienste aus, und klicken Sie auf Fertig stellen.

    5. Das Signaturzertifikat für die aktuelle Konfiguration befindet sich in diesem Speicher: OCSPSVC\<Konfigurationsname>.

    Signaturzertifikat manuell auswählen. Wenn diese Option ausgewählt wird, weist der Online-Responder kein Signaturzertifikat für die Sperrkonfiguration zu. Wenn der Assistent beendet ist und die Sperrkonfiguration erstellt wurde, müssen Sie für jedes der Online-Responderarraymitglieder manuell ein Signaturzertifikat auswählen. Die Sperrkonfiguration ist erst funktionsfähig, wenn dieser Vorgang abgeschlossen ist.

    Zertifizierungsstellenzertifikat für die Sperrkonfiguration verwenden. Wenn diese Option ausgewählt ist, verwendet der Online-Responder das in Schritt 4 ausgewählte Zertifizierungsstellenzertifikat als Signaturzertifikat. Diese Option ist nur verfügbar, wenn der Online-Responder auf dem Zertifizierungsstellencomputer installiert ist.

    Abbildung 21: Auswählen eines Signaturzertifikats

    CRL-Verteilungspunkt hinzufügen
  6. Klicken Sie nach dem Auswählen des Signaturzertifikats auf Weiter.

  7. Klicken Sie auf der Seite Sperranbieter auf Anbieter.

    Zum Konfigurieren des Sperranbieters sind zusätzliche Informationen erforderlich. Im Dialogfeld Sperranbietereigenschaften können Sie den Sperranbieter konfigurieren, indem Sie die Zertifikatsperrlisten und Deltasperrlisten für die Sperrkonfiguration auswählen. Diese Informationen werden vom Online-Responder zum Abrufen und Zwischenspeichern der Zertifikatsperrlisten und Deltasperrlisten verwendet, mit deren Hilfe Zertifikatstatusantworten bereitgestellt werden. In manchen Fällen werden die Pfade der Zertifikatsperrlisten basierend auf Informationen in AD DS aufgefüllt. Standardmäßig ruft der Sperranbieter eine neue Zertifikatsperrliste und Deltasperrliste basierend auf dem in der Zertifikatsperrliste angegebenen Gültigkeitszeitraum ab. Das Aktualisierungsintervall kann durch Eingeben einer bestimmten Aktualisierungsintervallrate manuell festgelegt werden. Der Mindestwert beträgt fünf Minuten.

    Wenn die Zertifizierungsstelle zum Ausstellen von Deltasperrlisten konfiguriert ist, verwendet der Sperranbieter die in der Liste Basissperrlisten bereitgestellte URL, um die Basissperrliste abzurufen. Zum Abrufen der Deltasperrlisten werden die in der Basissperrliste selbst enthaltenen Informationen verwendet. Verwenden Sie die Liste Basissperrlisten nur, wenn der Sperranbieter die Deltasperrlisten aus einem anderen Pfad als dem in der Basissperrliste angegebenen abrufen soll.

    Abbildung 22: Sperranbietereigenschaften

    Sperranbietereigenschaften
  8. Zum Schließen des Dialogfelds Sperranbietereigenschaften klicken Sie auf OK.

  9. Zum Erstellen der Sperrkonfiguration klicken Sie auf Fertig stellen.

noteHinweis
Der Sperranbieter sucht immer auf dem lokalen Computer nach einer gültigen Zertifikatsperrliste und einer Deltasperrliste, bevor er sie über das Netzwerk abzurufen versucht. Wenn der Online-Responder auf dem gleichen Computer installiert ist wie die Zertifizierungsstelle, werden die im Sperranbieter konfigurierten Werte ignoriert.

Ändern einer Sperrkonfiguration

Eine erstellte Sperrkonfiguration kann geändert werden. Hierzu wählen Sie die zu bearbeitende Sperrkonfiguration in der Ansicht Sperrkonfigurationen aus und klicken dann auf Eigenschaften bearbeiten im Menü Aktion oder im Bereich Aktionen.

Lokale Zertifikatsperrliste. Auf der Registerkarte Lokale Zertifikatsperrliste können Sie gesperrte Zertifikate für eine Sperrkonfiguration lokal verwalten. Wenn diese Option verwendet wird, verwaltet der Online-Responder zusätzlich zur Zertifizierungsstellen-Zertifikatsperrliste und zur Deltasperrliste eine lokale Liste mit gesperrten Zertifikaten. Dieses Feature ist hilfreich, wenn die Zertifizierungsstelle nicht antwortet und keine Zertifikatsperrlisten veröffentlichen kann oder wenn der Online-Responder die Zertifikatsperrliste nicht abrufen kann. Die lokalen Sperrinformationen lösen die Informationen in einer von einer Zertifizierungsstelle veröffentlichten Zertifikatsperrliste ab. Wenn beispielsweise ein Zertifikat in der lokalen Zertifikatsperrliste als gesperrt aufgelistet ist, in der von der Zertifizierungsstelle veröffentlichten Zertifikatsperrliste jedoch nicht, gibt der Online-Responder dennoch eine Antwort aus, in der das angegebene Zertifikat gesperrt ist.

Zum Hinzufügen eines Zertifikats zur Liste Lokale gesperrte Zertifikate aktivieren Sie zuerst das Kontrollkästchen Lokale Zertifikatsperrliste aktivieren, und klicken Sie dann auf Hinzufügen. Im Dialogfeld Details des gesperrten Zertifikats (Abbildung 23) müssen Sie die Seriennummer des Zertifikats, den Sperrgrund und das Gültigkeitsdatum der Sperrung angeben.

Abbildung 23: Details des gesperrten Zertifikats (Dialogfeld)

Gesperrte Zertifikatdetails

Sperranbieter. Auf der Registerkarte Sperranbieter können Sie den Sperranbieter für die angegebene Sperrkonfiguration umkonfigurieren. Wenn Sie auf die Schaltfläche Anbieter klicken, wird das gleiche Dialogfeld wie im Assistenten zum Hinzufügen einer Sperrkonfiguration angezeigt.

Signatur. Auf der Registerkarte Signatur (Abbildung 24) können Sie die folgenden Optionen für Antwortsignaturen konfigurieren:

  • Hashalgorithmus. Der beim Signieren der Antwort zu verwendende Hashalgorithmus.

  • Keine Aufforderung zur Eingabe von Anmeldeinformationen für Kryptografievorgänge anzeigen. Wenn der Signaturschlüssel durch ein zusätzliches Kennwort geschützt ist, fordert der Online-Responder bei Auswahl dieser Option den Benutzer nicht zur Eingabe des Kennworts auf und kann nicht ausgeführt werden. Dabei wird keine Warnung ausgegeben. Es ist wichtig, dass Sie diese Option verstehen, wenn Sie HSMs zum Speichern des OCSP-Signaturschlüssels verwenden. Wenn Sie ein HSM verwenden und diese Option ausgewählt ist, wird die CryptoAPI angewiesen, das PIN-Dialogfeld für den Zugriff auf den privaten Schlüssel nicht anzuzeigen, und der Signaturvorgang kann nicht ausgeführt werden. Wenn diese Option nicht ausgewählt ist, wird das PIN-Dialogfeld beim ersten Laden der Konfiguration angezeigt. Dies kann der Fall sein, wenn der Dienst gestartet wird oder wenn die Sperrkonfiguration zum ersten Mal geladen wird.

noteHinweis
Wählen Sie diese Option nicht aus, wenn zum Schützen privater Schlüssel ein HSM verwendet wird.

  • Automatisch erneuerte Signaturzertifikate verwenden. Mit dieser Option wird Online-Responder angewiesen, erneuerte Signaturzertifikate automatisch zu verwenden, ohne dass der Administrator des Online-Responders diese manuell zuweisen muss.

  • Unterstützung von NONCE-Erweiterungen aktivieren. Mit dieser Option wird der Online-Responder angewiesen, eine NONCE-Erweiterung für OCSP-Anforderungen zu überprüfen und zu verarbeiten. Wenn diese Option ausgewählt ist und eine OCSP-Anforderung eine NONCE-Erweiterung enthält, ignoriert der Online-Responder alle zwischengespeicherten OCSP-Antworten und erstellt eine neue Antwort mit der in der Anforderung enthaltenen NONCE-Erweiterung. Wenn diese Option deaktiviert ist und eine Anforderung mit einer NONCE-Erweiterung empfangen wird, wird die Anforderung vom Online-Responder mit der Fehlermeldung "Nicht autorisiert" abgelehnt.

noteHinweis
Die NONCE-Erweiterung wird vom OCSP-Client von Microsoft nicht unterstützt.

noteHinweis
Wenn in der Antwort eine nicht kritische Erweiterung enthalten ist, ignoriert der Online-Responder die Erweiterung und stellt eine Antwort bereit. Wenn in der Antwort eine kritische Erweiterung enthalten ist, wird die Anforderung vom Online-Responder mit der Fehlermeldung "Nicht autorisiert" abgelehnt.

  • Beliebiges gültiges OCSP-Signaturzertifikat verwenden. Standardmäßig werden vom Online-Responder nur Signaturzertifikate verwendet, die von der gleichen Zertifizierungsstelle ausgestellt wurden wie das gerade überprüfte Zertifikat. Mit dieser Option kann das Standardverhalten geändert werden, und der Online-Responder wird angewiesen, jedes gültige vorhandene Zertifikat zu verwenden, das die EKU-Erweiterung der OCSP-Signatur enthält.

noteHinweis
Dieses Bereitstellungsmodell wird von Windows Vista nicht unterstützt. Wenn diese Option ausgewählt wird, tritt ein Fehler auf.

  • Online-Responder-IDs. Mit dieser Option können Sie auswählen, ob die Antwort den Schlüsselhash oder den Antragsteller des Signaturzertifikats enthalten soll. Dies ist gemäß RFC 2560 erforderlich.

Abbildung 24: Sperrkonfiguration (Dialogfeld), Signatur (Registerkarte)

Einstellungen der Sperrkonfiguration

Verwalten von Arraymitgliedern

Zum Verwalten globaler Einstellungen und Sperrkonfigurationen auf mehreren Online-Respondercomputern wurde das Konzept der "Arrays" eingeführt. Ein Array ist definiert als mindestens ein Computer, auf dem der Online-Responderdienst installiert ist und der logisch gruppiert ist und über das Online-Responder-Snap-In verwaltet wird. Alle Computer, die Mitglieder eines Arrays sind, verfügen über die gleichen globalen Einstellungen und Sperrkonfigurationen. Für jedes Array ist ein Mitglied als Arraycontroller definiert. Die Rolle des Arraycontrollers besteht darin, zur Auflösung von Synchronisierungskonflikten beizutragen und aktualisierte Sperrkonfigurationsinformationen auf alle Arraymitglieder anzuwenden.

Beim ersten Öffnen des Online-Responder-Snap-Ins sehen Sie, dass bereits ein Arraymitglied in der Konsolenstruktur vorhanden ist. Dieses Mitglied ist der Arraycontroller, bei dem es sich standardmäßig um den lokalen Computer handelt.

Hinzufügen von Arraymitgliedern

So fügen Sie Arraymitglieder hinzu

  1. Klicken Sie in der Konsolenstruktur auf Arraykonfiguration.

  2. Klicken Sie im Menü Aktion oder im Bereich Aktionen auf Arraymitglied hinzufügen.

  3. Suchen Sie im Dialogfeld Computer auswählen den Online-Respondercomputer, der dem Array hinzugefügt werden soll, oder geben Sie den definierten Namen des Computers ein, und klicken Sie dann auf OK.

Wenn der neue Online-Responder dem Array hinzugefügt wurde, werden globale Einstellungen und vorhandene Sperrkonfigurationen automatisch vom Online-Responder-Snap-In synchronisiert.

Überwachen und Verwalten von Arraymitgliedern

Jedes Mitglied des Arrays kann einzeln überwacht und verwaltet werden. Durch Klicken auf einen bestimmten Arraymitgliedsknoten wird die Arraymitgliedsansicht angezeigt. Sie enthält Informationen zum Sperrkonfigurationsstatus für die einzelnen Sperrkonfigurationen sowie Konfigurationsoptionen.

Zur besseren Identifizierung des Status von Arraymitgliedern werden die folgenden Statuscodes in der Konsolenstruktur angezeigt:

  • Arraycontrollerstatus: OK

  • Arraycontrollerstatus: kritisch

  • Arraycontrollerstatus: unbekannt

  • Arraycontrollerstatus: Warnung

  • Arraymitgliedsstatus: OK

  • Arraymitgliedsstatus: kritisch

  • Arraymitgliedsstatus: unbekannt

  • Arraymitgliedsstatus: Warnung

Zum manuellen Zuweisen eines Signaturzertifikats können Sie die Mitgliedsansicht verwenden.

So weisen Sie ein Signaturzertifikat manuell zu

  1. Wählen Sie einen Arraymitgliedsknoten aus.

  2. Wählen Sie die Sperrkonfiguration aus, der Sie ein Signaturzertifikat zuweisen möchten.

  3. Klicken Sie im Menü Aktion oder im Bereich Aktionen auf Signaturzertifikat zuweisen.

  4. Wählen Sie ein Signaturzertifikat aus der Liste der verfügbaren Signaturzertifikate aus, und klicken Sie dann auf OK.

noteHinweis
Der Vorgang Signaturzertifikat zuweisen sollte nur verwendet werden, wenn beim Erstellen einer Sperrkonfiguration die Option Signaturzertifikat manuell auswählen ausgewählt wurde.

Aktivieren der Remoteverwaltung

Der Online-Responder kann über jeden anderen Computer verwaltet werden, auf dem das Online-Responder-Snap-In installiert ist. Zum Aktivieren der Remoteverwaltung müssen Firewallregeln konfiguriert werden.

So aktivieren Sie die Remoteverwaltung

  1. Öffnen Sie das Snap-In Windows-Firewall mit erweiterter Sicherheit.

  2. Klicken Sie auf Eingehende Regeln.

    Windows-Firewall mit Snap-In für erweiterte Sicherheit
  3. Klicken Sie im Detailbereich mit der rechten Maustaste auf Online-Responderdienst (DCOM eingehend), und klicken Sie auf Regel aktivieren.

  4. Klicken Sie im Detailbereich mit der rechten Maustaste auf Online-Responderdienst (RPC eingehend), und klicken Sie auf Regel aktivieren.

  5. Schließen Sie das Snap-In Windows-Firewall mit erweiterter Sicherheit.

Planen der Zertifizierungstellenzertifikat-Erneuerung

Wie im Abschnitt "Erstellen von Sperrkonfigurationen" in diesem Dokument erwähnt, ist eine Sperrkonfiguration an ein bestimmtes Zertifizierungsstellen-Schlüsselpaar gebunden. Daher wirkt sich das Erneuern einer Zertifizierungsstelle auf die Konfiguration und die fortlaufende Wartung des Online-Responders aus.

Beim Erstellen einer Sperrkonfiguration wird die Schlüssel-ID des Zertifizierungstellenzertifikats als Sperrkonfigurations-ID gespeichert und zum Identifizieren der Sperrkonfiguration verwendet, die zum Verarbeiten eingehender OCSP-Anforderungen verwendet werden soll.

Grundlegendes zur Beziehung zwischen Sperrkonfiguration und Zertifizierungstellenzertifikat

Wenn ein Zertifizierungstellenzertifikat mit dem gleichen Schlüsselpaar erneuert wird, ist eine vorhandene Sperrkonfiguration, die für die angegebene Zertifizierungsstelle erstellt wurde, nach wie vor gültig. Eine zusätzliche Konfiguration ist nicht erforderlich. Wenn eine Zertifizierungsstelle mit einem neuen Schlüsselpaar erneuert wird, bleibt die vorhandene Sperrkonfiguration für die erneuerte Zertifizierungsstelle gültig. Für das neue Zertifizierungsstellen-Schlüsselpaar muss jedoch eine neue Sperrkonfiguration erstellt werden. Es gibt zurzeit keine Möglichkeit, vorhandene Sperrkonfigurationen automatisch zu duplizieren, und der Online-Responderadministrator muss die Sperrkonfiguration manuell erstellen.

Erstellen einer Sperrkonfiguration für eine erneuerte Zertifizierungsstelle

In manchen Szenarien muss möglicherweise eine Sperrkonfiguration für ein altes, aber noch gültiges Zertifizierungsstellenzertifikat und Schlüsselpaar erstellt werden. In diesem Fall muss das Zertifizierungsstellenzertifikat aus dem lokalen Computerspeicher ausgewählt oder manuell als Datei mit der Erweiterung *.cer exportiert und dann im Assistenten zum Hinzufügen einer Sperrkonfiguration ausgewählt werden.

Ausführen einer Online-Respondersicherung und -wiederherstellung

Das Sichern der Sperrkonfiguration und der Signaturschlüssel des Online-Responders ist unerlässlich für die ordnungsgemäße Funktionsweise des Online-Responders.

  • Sperrkonfiguration. Obwohl Sperrkonfigurationen neu erstellt werden können, wird empfohlen, den Online-Responder bei jeder Änderung an der Sperrkonfiguration zu sichern.

  • Signaturschlüssel. Da Signaturschlüssel bei Beschädigung oder in anderen Notfällen neu ausgestellt werden können, sollten sie nur dann gesichert werden, wenn der Schlüssel der ausstellenden Zertifizierungsstelle nicht verfügbar ist. Aufgrund der in "Erneuern von OCSP-Antwortsignaturzertifikaten" beschriebenen Einschränkungen bei Verwendung einer Windows Server 2003, Enterprise Edition-basierten Zertifizierungsstelle sollten für Online-Responder ausgestellte OCSP-Signaturschlüssel gesichert werden.

Da mit Online-Responderverwaltungstools Sperrkonfigurationen des Arraycontrollers mit den Arraymitgliedern synchronisiert werden können, muss der Sicherungsvorgang nur auf dem Online-Responderarraycontroller ausgeführt werden, auf dem sich die neuesten Sperrkonfigurationsinformationen befinden. Zum Sichern der Sperrkonfiguration des Online-Responders sollten Sie eine vollständige Systemstatussicherung ausführen.

So extrahieren Sie nur die Sperrkonfigurationen

  1. Wechseln Sie zum Arraycontrollercomputer.

  2. Öffnen Sie den Registrierungs-Editor (regedit.exe).

  3. Navigieren Sie zur folgenden Registrierungsstruktur:

    HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder

  4. Klicken Sie mit der rechten Maustaste auf die Struktur, und klicken Sie dann auf Exportieren.

  5. Speichern Sie die Informationen in einer Datei mit der Erweiterung *.reg, und speichern Sie die Datei als Sicherung.

Wie in "Erneuern von OCSP-Antwortsignaturzertifikaten" beschrieben, müssen OCSP-Signaturschlüssel nur bei Verwendung des Online-Responders mit einer Windows Server 2003-basierten Zertifizierungsstelle gesichert werden. Da OCSP-Signaturschlüssel für die einzelnen Sperrkonfiguration der einzelnen Online-Respondercomputer eindeutig sind, müssen alle verfügbaren Signaturschlüssel für jeden einzelnen Online-Respondercomputer gesichert werden.

Zum Sichern der Signaturschlüssel des Online-Responders sollten Sie eine vollständige Systemstatussicherung ausführen.

Ausführen einer Online-Respondermigration

In manchen Szenarien muss möglicherweise ein vorhandenes Online-Responderarraymitglied zu einem neuen Computer migriert werden. Wie im Abschnitt "Ausführen einer Sicherung und Wiederherstellung" erörtert, wird die Computermigration dadurch vereinfacht, dass mit Online-Responderverwaltungstools Sperrkonfigurationen des Arraycontrollers automatisch mit den Arraymitgliedern synchronisiert werden können.

So migrieren Sie ein vorhandenes Online-Responderarraymitglied zu einem neuen Computer

  1. Wenn die automatische Registrierung für das zu migrierende Arraymitglied nicht aktiviert ist, sichern Sie die OCSP-Signaturschlüssel mithilfe des Zertifikate-Snap-Ins.

  2. Wenn der Name des migrierten Arraymitglieds beibehalten werden soll, führen Sie die folgenden Schritte aus:

    a. Entfernen Sie mithilfe des Online-Responder-Snap-Ins das Arraymitglied aus dem Array.

    b. Löschen Sie in Systemeigenschaften das Arraymitglied aus der Domäne.

  3. Installieren Sie das neue Arraymitglied, und fügen Sie den Computer der Domäne hinzu.

  4. Importieren Sie gegebenenfalls mithilfe des Zertifikate-Snap-Ins gesicherte Signaturschlüssel aus dem Computerspeicher.

  5. Fügen Sie mithilfe des Online-Responder-Snap-Ins ein neues Arraymitglied hinzu, und wählen Sie den neuen Computer aus.

Problembehandlung für den Online-Responder

Die Problembehandlung für den Online-Responder kann in zwei Unterkategorien aufgeteilt werden.

  • Probleme im Zusammenhang mit dem Online-Responderdienst. Zu den Problemen in dieser Kategorie gehören Probleme mit Anforderungen und Antworten und mit der Sperranbieterkonfiguration.

  • Probleme im Zusammenhang mit Online-Respondertools. Zu den Problemen in dieser Kategorie gehören alle Probleme im Zusammenhang mit dem Online-Responder-Snap-In und der Synchronisierung von Sperrkonfigurationen.

Probleme mit dem Online-Responderdienst

noteHinweis
Überprüfen Sie bei Problembehandlungsszenarien, in denen keine Fehler oder Warnungen im Ereignisprotokoll angezeigt werden und in denen keine Probleme für das Online-Responder-Snap-In gemeldet werden, das Protokoll des Online-Responderdiensts auf weitere Diagnoseinformationen. Das Dienstprotokoll befindet sich unter: Systemlaufwerk\Windows\ServiceProfiles\networkservice\ocspsvc.log

Die folgenden Ereignisse beziehen sich auf den Status des Online-Responderdiensts (ocspsvc.exe) und werden in der Ereignisanzeige des Computers angezeigt.

Ereignis 0xC25A0014 - Der Online-Responderdienst wurde nicht gestartet: %1. (Fehlermeldung).

Ereignis-ID 20

Ereignisname MSG_E_GENERIC_STARTUP_FAILURE

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Der Online-Responderdienst (ocspsvc.exe) wurde nicht gestartet. In den meisten Fällen enthält die Ereignismeldung anstelle des Arguments %1 den Grund.

Diagnose Die folgenden Gründe können den Initialisierungsfehler des Diensts verursachen:

  • Beschädigte Registrierungsinformationen

  • Keine Systemressourcen

Lösung

  1. Wenn die Fehlerbeschreibung nicht genug Informationen zum Beheben des Fehlers enthält, versuchen Sie zuerst, den Online-Responderdienst über das Dienste-Snap-In (services.msc) neu zu starten. Wenn der Online-Responderdienst nicht gestartet wird, überprüfen Sie das Ereignisprotokoll auf andere mögliche Fehler in diesem Zusammenhang.

  2. Wenn die Registrierungsinformationen beschädigt sind, müssen Sie den Online-Responderdienst mithilfe des Server-Managers deinstallieren und neu installieren.

  3. Wenn die Systemressourcen zum Starten des Online-Responderdiensts nicht ausreichen, starten Sie den Computer neu, oder geben Sie Systemressourcen frei.

Ereignis 0xC25A0015 - %1(Dateibezeichner): Der Online-Responderdienst hat eine Ausnahme an Adresse %2 erkannt. Flags = %3. Ausnahme %4(Fehlercode).

Ereignis-ID 21

Ereignisname MSG_E_EXCEPTION

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Dieses Ereignis weist auf ein internes Problem mit dem Online-Responderdienst hin. Wenden Sie sich an den Microsoft-Kundendienst und -Support, um das Problem zu melden.

Diagnose N/V

Lösung N/V

Ereignis 0xC25A0016 - Der OCSP-Responderdienst hat eine extrem lange Anforderung von %1 nicht verarbeitet. Dies kann auf einen Denial-of-Service-Angriff hinweisen. Ändern Sie die Eigenschaft MaxIncomingMessageSize für den Dienst, wenn die Anforderung fälschlicherweise abgelehnt wurde. Sofern keine ausführliche Protokollierung aktiviert ist, wird dieser Fehler nur alle 20 Minuten protokolliert.

Ereignis-ID 22

Ereignisname MSG_E_POSSIBLE_DENIAL_OF_SERVICE_ATTACK

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung N/V

Diagnose N/V

Lösung Es wird empfohlen, den Urheber der Anforderung zu suchen, da dieser Ereignistyp auf einen bösartigen Benutzer oder eine bösartige Anwendung hinweisen kann, der bzw. die den Online-Responder zu gefährden versucht.

Der Wert MaxIncomingMessageSize kann geändert werden durch Erstellen eines neuen DWORD-Registrierungswerts unter der Registrierungsstruktur HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder und Festlegen des Werts auf die maximale Byteanzahl, die der Online-Responder verarbeiten soll.

Ereignis 0xC25A0017 - Der Online-Responderdienst konnte kein Signaturzertifikat für die Konfiguration %1 finden(Konfigurations-ID der Zertifizierungsstelle).(%2) (Fehlermeldung).

Ereignis-ID 23

Ereignisname MSG_E_CACONFIG_MISSING_SIGNINGCERT

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Dieses Ereignis tritt auf, wenn beim Online-Responderdienst ein Problem beim Suchen oder Laden des Signaturzertifikats einer bestimmten Konfiguration auftritt.

Diagnose Dieses Ereignis kann durch folgende Gründe verursacht werden:

  • Das OCSP-Antwortsignaturzertifikat ist im persönlichen Zertifikatspeicher für den Computer nicht vorhanden.

    Bei Konfigurationen mit automatischer Registrierung, in denen sich der Online-Responderdienst selbst für sein Zertifikat registriert, bedeutet dies, dass möglicherweise ein Problem beim Registrieren oder Installieren des Signaturzertifikats aufgetreten ist. Überprüfen Sie das Ereignisprotokoll auf weitere Fehler oder Warnungen, die sich möglicherweise auf diesen Fehler beziehen. Überprüfen Sie dann den Status des OCSP-Antwortsignaturzertifikats.

noteHinweis
Wenn die Sperrkonfiguration für die automatische Registrierung und Erneuerung des OCSP-Antwortsignaturzertifikats eingerichtet ist, befindet sich das Signaturzertifikat im Zertifikatspeicher des Kontos des Online-Responders. Zum Anzeigen öffnen Sie MMC, und fügen Sie das Zertifikate-Snap-In für Dienstkonto auf dem Online-Respondercomputer hinzu. Wählen Sie dabei das Konto Online-Responderdienst aus. Das Zertifikat befindet sich im Zertifikatspeicher unter dem Knoten, der mit dem Sperrkonfigurationsnamen bezeichnet ist.

Wenn die Sperrkonfiguration für die manuelle Registrierung und Erneuerung des OCSP-Antwortsignaturzertifikats eingerichtet ist, suchen Sie das Signaturzertifikat im persönlichen Zertifikatspeicher für den lokalen Computer. Öffnen Sie das Zertifikate-Snap-In für den Computer, und suchen Sie das Signaturzertifikat im persönlichen Zertifikatspeicher.

Lösung

  1. Wenn kein OCSP-Antwortsignaturzertifikat im persönlichen Zertifikatspeicher für den lokalen Computer vorhanden ist und die Sperrung für die manuelle Registrierung von OCSP-Antwortsignaturzertifikaten konfiguriert wurde, müssen Sie sich manuell für ein Zertifikat registrieren.

  2. Bei Konfigurationen, in denen sich der Online-Responderdienst selbst für sein Zertifikat registriert, kann die manuelle Registrierung nicht ausgeführt werden. Überprüfen Sie das Ereignisprotokoll auf weitere Fehler- oder Warnmeldungen im Zusammenhang mit einem Fehler beim Registrieren oder Installieren des OCSP-Antwortsignaturzertifikats. Wenn keine weiteren Informationen verfügbar sind, überprüfen Sie Folgendes:

    1. Überprüfen Sie, ob der Computer, auf dem der Online-Responderdienst ausgeführt wird, über Konnektivität mit einer Zertifizierungsstelle verfügt. Überprüfen Sie mithilfe des Zertifizierungsstellen-Snap-Ins auf der Zertifizierungsstelle, ob die Zertifizierungsstelle für das Ausstellen von auf der OCSP-Antwortsignaturvorlage basierenden Zertifikaten konfiguriert ist.

    2. Überprüfen Sie mithilfe des Zertifikatvorlagen-Snap-Ins, ob der Computer, auf dem der Online-Responder ausgeführt wird, über die Berechtigungen Lesen und Registrieren für die OCSP-Antwortsignaturvorlage verfügt.

  3. Wenn ein gültiges OCSP-Antwortsignaturzertifikat vorhanden ist, stellen Sie sicher, dass der Online-Responderdienst Zugriff auf den privaten Schlüssel hat. Da der Online-Responderdienst standardmäßig als Netzwerkdienst ausgeführt wird, muss der Zugriff auf den privaten Schlüssel in diesem Benutzerkontext möglich sein. Wenn der Netzwerkdienst nicht auf den privaten Schlüssel des OCSP-Antwortsignaturzertifikats zugreifen kann, führen Sie die Schritte in "Registrieren für ein OCSP-Antwortsignaturzertifikat" im Abschnitt Konfigurieren der Signaturzertifikatvorlage für OCSP-Antworten aus, um das Problem zu beheben.

  4. Wenn das OCSP-Antwortsignaturzertifikat für Signaturzwecke nicht gültig ist, stellen Sie sicher, dass Sie sich für ein Zertifikat registrieren, das die erweiterte Schlüsselverwendung id-kp-OCSPSigning mit der Bezeichnung OCSP Signing (1.3.6.1.5.5.7.3.9) enthält.

Ereignis 0x825A0019 - Das Signaturzertifikat für die Online-Responder-Konfiguration %1 läuft bald ab.

Ereignis-ID 25

Ereignisname MSG_W_CACONFIG_SIGNINGCERT_EXPIRING

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Das Signaturzertifikat für die angegebene Konfiguration läuft bald ab. Das heißt, wenn der Online-Responder so konfiguriert ist, dass er sich automatisch für Signaturzertifikate registrieren kann, hat für das Zertifikat der Zeitraum begonnen, in dem es automatisch erneut registriert werden kann. Bei manuellen Konfigurationen bedeutet dies, dass der Zeitraum, in dem Erneuerungserinnerungen ausgelöst werden, begonnen hat.

Diagnose Überprüfen Sie das Ablaufdatum des angegebenen Zertifikats.

Suchen Sie das Signaturzertifikat gemäß der Anleitung für das Online-Responderereignis 23 weiter oben, und achten Sie auf das Feld Gültig bis.

Wenn die Sperrkonfiguration für die automatische Registrierung des OCSP-Antwortsignaturzertifikats konfiguriert wurde, sind möglicherweise keine weiteren Maßnahmen erforderlich. Überprüfen Sie das Ablaufdatum des Zertifikats, um sicherzustellen, dass Sie genug Zeit haben, um den Zeitpunkt der automatischen erneuten Registrierung zu überprüfen.

Lösung Erneuern Sie bei manuellen Konfigurationen das Signaturzertifikat. Klicken Sie hierzu mit der rechten Maustaste auf das Zertifikat, und klicken Sie auf Zertifikat mit neuem Schlüssel erneuern, um den Zertifikaterneuerungs-Assistenten zu starten.

noteHinweis
Die Erinnerungsdauer ist eine responderweite Eigenschaft, die als Prozentsatz der Zertifikatgültigkeitsdauer ausgedrückt wird. Der Standardwert ist 90 Prozent, dieser Wert kann jedoch geändert werden. Fügen Sie hierzu einen DWORD-Registrierungsschlüssel mit dem Namen ReminderDuration unter HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\OcspSvc\Responder\%Revocation Configuration Name\ hinzu.

Geben Sie einen Wert zwischen 1 und 100 ein, um den gewünschten Prozentsatz anzugeben. Sie müssen den Online-Responderdienst anhalten und neu starten, damit der neue Wert wirksam wird.

Ereignis 0xC25A001A - Das Signaturzertifikat für die Online-Responder-Konfiguration %1 ist abgelaufen. Die OCSP-Anforderungen für diese Konfiguration werden abgelehnt.

Ereignis-ID 26

Ereignisname MSG_E_CACONFIG_SIGNINGCERT_EXPIRED

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Das Signaturzertifikat für die angegebene Konfiguration ist abgelaufen.

Diagnose Überprüfen Sie das Ablaufdatum des angegebenen Zertifikats.

  • Wenn die Sperrkonfiguration für die automatische Registrierung des OCSP-Antwortsignaturzertifikats konfiguriert wurde, ist möglicherweise ein Problem bei der automatischen erneuten Registrierung aufgetreten. Suchen Sie das Signaturzertifikat im Zertifikatspeicher des Dienstkontos des Online-Responders gemäß den Anweisungen für das Online-Responderereignis 23 weiter oben. Wenn das Zertifikat abgelaufen ist, überprüfen Sie das Ereignisprotokoll auf weitere Fehler- oder Warnmeldungen im Zusammenhang mit einem Fehler beim automatischen Registrieren oder Installieren des OCSP-Antwortsignaturzertifikats. Wenn keine weiteren Informationen verfügbar sind, überprüfen Sie Folgendes:

    1. Überprüfen Sie, ob der Computer, auf dem der Online-Responderdienst ausgeführt wird, über Konnektivität mit einer Zertifizierungsstelle verfügt.

    2. Überprüfen Sie mithilfe des Zertifizierungsstellen-Snap-Ins auf der Zertifizierungsstelle, ob die Zertifizierungsstelle für das Ausstellen von auf der OCSP-Antwortsignaturvorlage oder einem Duplikat dieser Vorlage basierenden Zertifikaten konfiguriert ist.

    3. Überprüfen Sie mithilfe des Zertifikatvorlagen-Snap-Ins, ob der Computer, auf dem der Online-Responder ausgeführt wird, über die Berechtigungen Lesen und Registrieren für die OCSP-Antwortsignaturvorlage verfügt.

  • Wenn die Sperrkonfiguration für die manuelle Registrierung des OCSP-Antwortsignaturzertifikats eingerichtet ist, suchen Sie das Signaturzertifikat gemäß den Anweisungen für das Online-Responderereignis 23 weiter oben im persönlichen Zertifikatspeicher für den lokalen Computer auf dem Computer des Online-Responders.

Lösung

Wenn die Sperrkonfiguration die manuelle Registrierung des OCSP-Signaturzertifikats vorsieht und auf dem Online-Respondercomputer ein gültiges erneuertes OCSP-Signaturzertifikat vorhanden ist, weisen Sie das Zertifikat mithilfe der folgenden Schritte der im Ereignisprotokoll identifizierten Sperrkonfiguration zu:

  1. Klicken Sie im Online-Responder-Snap-In auf Arraykonfiguration, und klicken Sie auf den Knoten für den Computer, auf dem die Warnung protokolliert wurde.

  2. Klicken Sie mit der rechten Maustaste auf die im Ereignisprotokoll identifizierte Sperrkonfiguration, und klicken Sie auf Signaturzertifikat zuweisen.

  3. Wählen Sie das Zertifikat aus, und klicken Sie auf OK.

  4. Klicken Sie auf Sperrkonfiguration, klicken Sie mit der rechten Maustaste auf die Sperrkonfiguration, und klicken Sie auf Eigenschaften bearbeiten. Klicken Sie auf die Registerkarte Signatur.

    Wenn Automatisch erneuerte Signaturzertifikate verwenden nicht ausgewählt ist, müssen Sie das Signaturzertifikat bei jeder Erneuerung erneut der Sperrkonfiguration zuweisen. Wenn Sie diese Option auswählen, erfolgt die Zuweisung automatisch.

Wenn im persönlichen Zertifikatspeicher des lokalen Computers, auf dem die Warnung protokolliert wurde, kein gültiges erneuertes OCSP-Signaturzertifikat vorhanden ist, registrieren Sie sich mithilfe der folgenden Schritte für ein neues Signaturzertifikat:

  1. Klicken Sie mit der rechten Maustaste auf den persönlichen Zertifikatspeicher des lokalen Computers, zeigen Sie auf Alle Aufgaben, und klicken Sie auf Importieren, um den Zertifikatregistrierungs-Assistenten zu starten.

  2. Registrieren Sie sich für ein Zertifikat, das auf der OCSP-Antwortsignaturvorlage oder einem Duplikat dieser Vorlage basiert.

    noteHinweis
    Ein gültiges OCSP-Signaturzertifikat enthält in der EKU-Erweiterung die Zeichenfolge "OCSP Signing (1.3.6.1.5.5.7.3.9)".

  3. Verwenden Sie die Schritte 1 bis 4 aus dem vorherigen Verfahren, um das neue Zertifikat der Sperrkonfiguration zuzuweisen.

Ereignis 0x825A001B - Das Signaturzertifikat für die Online-Responder-Konfiguration %1 wurde nicht aktualisiert.(%2) (Fehlermeldung).

Ereignis-ID 27

Ereignisname MSG_W_CACONFIG_UPDATE_THREAD_FAILED

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Dieses Ereignis kann auftreten, wenn der Online-Responderdienst das Signaturzertifikat bei einer Erneuerung nicht aktualisieren kann.

Diagnose Dies sollte nur geschehen, wenn das System über zu wenig Ressourcen verfügt.

Lösung Wenn für die normale Funktionsweise des Online-Responders nicht genug Systemressourcen verfügbar sind, starten Sie zuerst den Online-Responderdienst neu, und starten Sie dann den Computer neu, oder geben Sie Systemressourcen frei. Wenn der Fehler weiterhin besteht, wenden Sie sich an den Microsoft-Kundendienst und -Support.

Ereignis 0xC25A001D - Die Einstellungen für die Online-Responder-Konfiguration %1 können nicht geladen werden. Die OCSP-Anforderungen für diese Konfiguration werden abgelehnt (%2) (Fehlermeldung).

Ereignis-ID 29

Ereignisname MSG_E_CACONFIG_FAILTOLOAD

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Dieses Ereignis kann auftreten, wenn eine Sperrkonfiguration beschädigt ist und nicht geladen werden kann.

Diagnose N/V

Lösung Führen Sie die folgenden Schritte aus, um das Problem zu lösen:

  1. Versuchen Sie, die Sperrkonfiguration über das Online-Responder-Snap-In zu löschen.

  2. Erstellen Sie die angegebene Sperrkonfiguration neu.

Wenn die Konfiguration nicht über das Online-Responder-Snap-In geladen werden kann, führen Sie die folgenden Schritte aus:

  1. Navigieren Sie zur folgenden Registrierungsstruktur: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\OCSPSvc\Responder

  2. Suchen und löschen Sie die beschädigte Sperrkonfiguration.

noteHinweis
Wenn dieses Problem auf einem Arraymitglied aufgetreten ist, löschen Sie die beschädigte Konfiguration auf dem Arraymitglied, und synchronisieren Sie dann das Array, um die Sperrkonfiguration neu zu erstellen. Wenn dieses Problem auf einem Arraycontroller auftritt, legen Sie vorübergehend einen anderen Computer als Arraycontroller fest, synchronisieren Sie das Array, und legen Sie dann den ursprünglichen Computer wieder als Arraycontroller fest.

Ereignis 0x825A001F - Die Leistungsindikatoren für den Online-Responderdienst können nicht initialisiert werden.

Ereignis-ID 31

Ereignisname MSG_W_PERF_COUNTER_INIT_ERROR

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Dieses Ereignis weist auf ein internes Problem mit dem Online-Responderdienst hin.

Diagnose Auf dem Computer, auf dem der Online-Responder gehostet wird, steht möglicherweise nicht genug Arbeitsspeicher zur Verfügung.

Lösung Öffnen Sie ein Fenster der Windows-Leistungskonsole (Perfmon.msc) auf dem Online-Respondercomputer, um die Auslastung des Systemarbeitsspeichers auszuwerten. Lösen Sie gegebenenfalls Ressourcenprobleme, indem Sie physischen oder virtuellen Speicher hinzufügen oder die Speicherbelegung und die Festplattenauslastung anpassen.

Verwenden Sie das Dienste-Snap-In, um den Online-Responderdienst zu beenden und neu zu starten.

Wenn der Fehler weiterhin besteht, wenden Sie sich an den Microsoft-Kundendienst und -Support, um das Problem zu melden.

Ereignis Der Online-Responderdienst konnte keine Registrierungsanforderungen für die Signaturzertifikatvorlage %2 für die Konfiguration %1 erstellen (%3) (Fehlermeldung).

Ereignis-ID 33

Ereignisname MSG_E_CACONFIG_CREATE_ENROLLMENT_REQUEST_FAILED

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Der Online-Responderdienst hat versucht, sich für ein Signaturzertifikat zu registrieren oder erneut zu registrieren, und beim Generieren der Zertifikatanforderung ist ein Fehler aufgetreten. Der Fehler ist aufgetreten, bevor die Anforderung an eine Zertifizierungsstelle gesendet werden konnte.

Diagnose Überprüfen Sie das Ereignis auf die Namen der Zertifikatvorlagen, für die die Registrierungsanforderung versucht wurde, und überprüfen Sie die Fehlermeldung. Überprüfen Sie das Ereignisprotokoll auf weitere Fehler vor oder nach diesem Ereignis, die möglicherweise weitere Informationen enthalten.

Lösung Die Lösung hängt von der Fehlermeldung und von weiteren protokollierten Fehlern oder Warnungen ab.

Ereignis Beim Übermitteln der Registrierungsanforderungen für die Konfiguration %1 an die Zertifizierungsstelle %2 ist im Online-Responderdienst ein Fehler aufgetreten. Anforderungs-ID: %3 (%4) (Fehlermeldung).

Ereignis-ID 34

Ereignisname MSG_E_CACONFIG_SUBMIT_ENROLLMENT_REQUEST_FAILED

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Der Online-Responderdienst hat versucht, sich für ein Signaturzertifikat zu registrieren oder erneut zu registrieren, und beim Senden der Zertifikatanforderung an die Zertifizierungsstelle ist ein Fehler aufgetreten.

Diagnose Die Ereignisbeschreibung sollte weitere Informationen zur Ursache des Fehlers enthalten, beispielsweise die Fehlermeldung und gegebenenfalls die zurückgegebene ID der Zertifizierungsstellenanforderung, bei der der Fehler aufgetreten ist.

Überprüfen Sie, ob der Computer, auf dem der Online-Responderdienst ausgeführt wird, über Konnektivität mit einer Zertifizierungsstelle verfügt. Überprüfen Sie mithilfe des Zertifizierungsstellen-Snap-Ins auf der Zertifizierungsstelle, ob die Zertifizierungsstelle für das Ausstellen von auf der OCSP-Antwortsignaturvorlage basierenden Zertifikaten konfiguriert ist.

Überprüfen Sie mithilfe des Zertifikatvorlagen-Snap-Ins, ob der Computer, auf dem der Online-Responder ausgeführt wird, über die Berechtigungen Lesen und Registrieren für die OCSP-Antwortsignaturvorlage verfügt.

Außerdem kann die als Teil der Fehlermeldung bereitgestellte Anforderungs-ID auf dem Zertifizierungsstellencomputer verwendet werden, um die Ursache des Fehlers weiter zu diagnostizieren.

Lösung Starten Sie nach dem Beheben aller Berechtigungsfehler oder weiteren Fehler mithilfe des Dienste-Snap-Ins eine neue Registrierung, um den Online-Responderdienst auf den einzelnen Arraymitgliedern neu zu starten. Klicken Sie alternativ mit der rechten Maustaste im Online-Responder-Snap-In auf Arraykonfiguration, und klicken Sie auf Sperrdaten aktualisieren.

Wenn der Fehler weiterhin besteht, überprüfen Sie das Ereignisprotokoll der Zertifizierungsstelle auf weitere Ereignisse im Zusammenhang mit Registrierungsfehlern. Lösen Sie alle Probleme im Zusammenhang mit Verarbeitungsanforderungen für OCSP-Antwortsignaturzertifikate, und starten Sie dann den Online-Responderdienst neu, um die Anforderung erneut auszuführen.

Ereignis Der Online-Responderdienst konnte die Registrierungsantwort für die Konfiguration %1 für die Signaturzertifikatvorlage %2 nicht installieren. Anforderungs-ID: %3 (%4) (Fehlermeldung).

Ereignis-ID 35

Ereignisname MSG_E_CACONFIG_INSTALL_ENROLLMENT_RESPONSE_FAILED

Ereignisquelle OnlineResponder oder OCSPSvc

Beschreibung Der Online-Responderdienst konnte eine Registrierungsanforderung für ein Signaturzertifikat an eine Zertifizierungsstelle senden, während der Verarbeitung der Antwort auf die Anforderung ist jedoch ein Fehler aufgetreten.

Diagnose Überprüfen Sie in der Ereignisbeschreibung den Namen der Sperrkonfiguration, die Zertifikatvorlage, für die die Registrierung versucht wurde, die Anforderungs-ID der Anforderung auf der Zertifizierungsstelle und die Fehlermeldung.

Überprüfen Sie mithilfe des Zertifizierungsstellen-Snap-Ins den Status und die Disposition der Zertifikatanforderung.

Wenn das Zertifikat ausgestellt wurde, stellen Sie sicher, dass es mit dem der Sperrkonfiguration zugeordneten Zertifizierungsstellenzertifikat signiert wurde.

Lösung

Wenn das Zertifikat ausgestellt wurde, stellen Sie mithilfe der folgenden Schritte sicher, dass es mit dem der Sperrkonfiguration zugeordneten Zertifizierungsstellenschlüssel signiert wurde.

  1. Identifizieren Sie im Zertifizierungsstellen-Snap-In das Zertifizierungsstellenzertifikat, mit dem das ausgestellte Zertifikat für die in der Fehlermeldung identifizierte Anforderung signiert wurde.

  2. Klicken Sie im Online-Responder-Snap-In auf Sperrkonfiguration, klicken Sie mit der rechten Maustaste auf die Sperrkonfiguration, und klicken Sie dann auf Zertifizierungsstellenzertifikat anzeigen.

  3. Wenn die beiden Zertifikate nicht übereinstimmen, wurde möglicherweise das Zertifizierungsstellenzertifikat erneuert, während die Sperrkonfiguration für das alte Zertifizierungsstellenzertifikat konfiguriert ist. Öffnen Sie eine Befehlszeile in der Zertifizierungsstelle, und geben Sie den folgenden Befehl ein, um zu ermöglichen, dass der Online-Responderdienst Zertifikate anfordert, die mit dem älteren (aber noch gültigen) Zertifizierungsstellenzertifikat signiert wurden:

    certutil –setreg ca\UseDefinedCACertInRequest 1

  4. Starten Sie die Zertifizierungsstelle neu.

Wenn Sie das Ausstellen von auf dem in der Anforderung identifizierten Zertifizierungsstellenzertifikat basierenden OCSP-Signaturzertifikaten durch die Zertifizierungsstelle aktiviert haben, senden Sie eine neue Anforderung, und aktualisieren Sie die Sperrkonfigurationsdaten mithilfe der folgenden Schritte:

  1. Klicken Sie im Online-Responder-Snap-In mit der rechten Maustaste auf Arraykonfiguration, und klicken Sie dann auf Sperrdaten aktualisieren.

  2. Stellen Sie sicher, dass keine weiteren Fehler gemeldet werden.

  3. Klicken Sie auf den Online-Responderknoten, und stellen Sie sicher, dass die Sperrkonfiguration als Wird ausgeführt aufgelistet ist.

Ereignis 0xC25A0011 - Der Online-Responder-Webproxy konnte nicht initialisiert werden. %1 (Fehlermeldung).

Ereignis-ID 17

Ereignisname MSG_E_FAILED_TO_INITIALIZE

Ereignisquelle OnlineResponderWebProxy oder OCSPISAPIExtension

Beschreibung Die ISAPI-Erweiterung wurde aufgrund eines internen Fehlers nicht initialisiert.

Diagnose Die folgenden Gründe können den Initialisierungsfehler der ISAPI-Erweiterung verursachen:

  • Der Online-Responderdienst (ocspsvc.exe) wurde beendet.

  • Die DCOM-Sicherheitskonfiguration für die IOCSPAdmin-Schnittstelle ist ungültig. Daher treten Fehler beim Aktualisieren der Webproxyinformationen durch die ISAPI-Erweiterung auf.

  • Möglicherweise sind für den gesamten Online-Responder geltende Konfigurationseigenschaften beschädigt.

Lösung Führen Sie die folgenden Schritte aus, um das Problem zu lösen.

  1. Stellen Sie sicher, dass der Dienst ocspsvc.exe ausgeführt wird.

  2. Stellen Sie mithilfe des Befehlszeilentools Dcomcnfg sicher, dass der Netzwerkdienst über die Berechtigung zum Aktivieren der IOCSPAdmin-Schnittstelle verfügt.

  3. Wenn Sie vermuten, dass die für den gesamten Online-Responder geltenden Konfigurationseigenschaften beschädigt sind, deinstallieren Sie den Online-Responderdienst, und installieren Sie ihn erneut. Sie können auch den Anweisungen für das Online-Responderereignis 29 weiter oben folgen, um die Konfiguration über die Registrierung oder durch Synchronisierung mit anderen Arraymitgliedern zu löschen und zu aktualisieren.

Ereignis 0x425A0014 - Der Online-Responderdienst hat eine ungültige Konfiguration für die Eigenschaft %1 erkannt. Der Wert wurde von %2 (Vorhandener Wert) in %3 (Angepasster Wert) geändert.

Ereignis-ID 20

Ereignisname MSG_I_ADJUST_PROPERTY_VALUES

Ereignisquelle OnlineResponderWebProxy oder OCSPISAPIExtension

Beschreibung Dieses Ereignis weist darauf hin, dass sich Konfigurationswerte nicht innerhalb des zulässigen Bereichs befinden. Dies kann auftreten, wenn die Registrierung manuell geändert wurde.

Diagnose N/V

Lösung Führen Sie die folgenden Schritte aus, um das Problem zu lösen:

  1. Für Arraymitglieder synchronisieren Sie mit dem Arraycontroller, oder installieren Sie den Online-Responderdienst neu.

  2. Für Arraycontroller legen Sie vorübergehend ein anderes Mitglied als Arraycontroller fest, synchronisieren Sie die Konfiguration, und legen Sie dann wieder das ursprüngliche Mitglied als Arraycontroller fest. Installieren Sie anderenfalls den Online-Responderdienst neu.

Ereignis 0xC25D0010 - Der Online-Responder-Sperranbieter konnte zur Konfiguration von %1 die Sperrlisteninformationen nicht aktualisieren: %2. (Fehlermeldung).

Ereignis-ID 16

Ereignisname MSG_E_CRL_RETRIEVAL_FAILED

Ereignisquelle OnlineResponderRevocationProvider oder OCSPRevInfoProvider

Beschreibung Der Online-Responderdienst konnte eine für die angegebene Sperrkonfiguration erforderliche Zertifikatsperrliste nicht abrufen.

Diagnose Führen Sie die folgenden Schritte aus, um das Problem zu diagnostizieren:

  1. Überprüfen Sie mit dem Online-Responder-Snap-In, ob die für die Basis- und Deltasperrlisten-Verteilungspunkte konfigurierten URLs gültig sind.

    1. Öffnen Sie das Online-Responder-Snap-In. Wählen Sie in der Konsolenstruktur den Sperrkonfigurationsknoten aus. Klicken Sie im Detailbereich mit der rechten Maustaste auf die in der Ereignisbeschreibung angegebene Sperrkonfiguration, und klicken Sie dann auf Eigenschaften bearbeiten. Klicken Sie auf die Registerkarte Sperranbieter, und klicken Sie dann auf Anbieter.

    2. Achten Sie auf die in den Listen mit den Basissperrlisten-URLs und den Deltasperrlisten-URLs konfigurierten URLs. Überprüfen Sie mithilfe von Netzwerktools, ob der Computer, auf dem der Online-Responder ausgeführt wird, auf diese URLs zugreifen kann und ob sie CRL-Dateien enthalten.

  2. Überprüfen Sie mit dem Zertifizierungsstellen-Snap-In die URLs, für die die Zertifizierungsstelle Basis- und Deltasperrlisten veröffentlicht.

    1. Öffnen Sie das Zertifizierungsstellen-Snap-In, klicken Sie mit der rechten Maustaste auf die entsprechende Zertifizierungsstelle, und klicken Sie dann auf Eigenschaften. Klicken Sie auf die Registerkarte Erweiterungen, und achten Sie auf die für die Erweiterung Sperrlisten-Verteilungspunkt eingegebenen URLs.

    2. Achten Sie auf die URLs, für die das Kontrollkästchen Sperrlisten an diesem Ort veröffentlichen oder Deltasperrlisten an diesem Ort veröffentlichen aktiviert ist. Überprüfen Sie, ob diese den gleichen Netzwerkpfaden zugeordnet sind, die als Basis- und Deltasperrlisten im Online-Responder-Snap-In konfiguriert sind.

  3. Überprüfen Sie auf dem Computer, auf dem die Basissperrliste veröffentlicht wird, die Erweiterung Aktuellste Sperrliste für die Basissperrliste. Überprüfen Sie, ob hier ein Speicherort angegeben ist, an dem die Deltasperrliste zu finden ist.

    1. Veröffentlichen Sie gegebenenfalls die aktuelle Zertifikatsperrliste erneut, indem Sie den folgenden Befehl an der Eingabeaufforderung eingeben:

      certutil -crl 
      
    2. Überprüfen Sie anschließend, ob der Online-Responderdienst auf die Zertifikatsperrliste zugreifen kann. Klicken Sie im Online-Responder-Snap-In mit der rechten Maustaste auf Arraykonfiguration. Klicken Sie anschließend auf Sperrdaten aktualisieren.

  4. Wenn der Fehler weiterhin besteht, aktivieren Sie die CryptoAPI 2.0-Diagnose, um weitere Informationen zu erhalten.

Weitere Informationen zum Aktivieren der CryptoAPI 2.0-Diagnose und Grundlegendes zu den CryptoAPI-Diagnoseinformationen finden Sie unter Aktivieren der CryptoAPI 2.0-Diagnose.

Lösung Stellen Sie abhängig von den Ergebnissen der oben genannten Problembehandlungsschritte sicher, dass die Zertifizierungsstelle ordnungsgemäß Zertifikatsperrlisten veröffentlicht und dass diese für den Online-Responderdienst verfügbar sind.

Ereignis 0xC25D0011 - Der Online-Responder-Sperranbieter verfügt zur Konfiguration von %1 entweder über keine oder über veraltete Sperrlisteninformationen.

Ereignis-ID 17

Ereignisname MSG_E_INVALID_CRL

Ereignisquelle OnlineResponderRevocationProvider oder OCSPRevInfoProvider

Beschreibung Der Online-Responderdienst konnte eine für die angegebene Sperrkonfiguration erforderliche Zertifikatsperrliste nicht abrufen.

Diagnose Siehe Diagnose für das Ereignis 16 weiter oben.

Weitere Informationen zum Aktivieren der CryptoAPI 2.0-Diagnose und Grundlegendes zu den CryptoAPI-Diagnoseinformationen finden Sie unter Aktivieren der CryptoAPI 2.0-Diagnose.

Lösung Stellen Sie abhängig von den Ergebnissen der oben genannten Problembehandlungsschritte sicher, dass die Zertifizierungsstelle ordnungsgemäß Zertifikatsperrlisten veröffentlicht und dass diese für den Online-Responderdienst verfügbar sind.

Ereignis 0xC25D0012 - Bei der Konfiguration von %1 hat der Online-Responder-Sperranbieter eine Deltasperrliste gefunden, die auf eine neuere Basissperrliste verweist.

Ereignis-ID 18

Ereignisname MSG_E_MISMATCHED_BASE_DELTA_CRL

Ereignisquelle OnlineResponderRevocationProvider oder OCSPRevInfoProvider

Beschreibung Dieses Ereignis weist darauf hin, dass die Deltasperrliste und die Basissperrlisten nicht übereinstimmen. Der Online-Responderdienst hat eine Deltasperrliste heruntergeladen, die Aktualisierungen für eine Zertifikatsperrliste enthält, die nicht gefunden wurde. Da eine Deltasperrliste ohne entsprechende Basissperrliste nicht verwendet werden kann, ist die Deltasperrliste nicht gültig.

Diagnose Dieses Ereignis kann durch folgende Gründe verursacht werden:

  • Die Zertifizierungsstelle hat die Basissperrliste nicht veröffentlicht, die Deltasperrliste wurde jedoch ordnungsgemäß veröffentlicht.

  • Der Online-Responderdienst konnte die Basissperrliste nicht abrufen, die Deltasperrliste konnte jedoch abgerufen werden.

Führen Sie die folgenden Schritte aus, um das Problem zu diagnostizieren:

  1. Überprüfen Sie mithilfe des Online-Responder-Snap-Ins die URLs für die Basis- und Deltasperrlisten. Führen Sie die oben im Ereignis 16 beschriebenen Schritte aus, um sicherzustellen, dass die Zertifizierungsstellen- und Online-Responder-URLs richtig für das Veröffentlichen und Abrufen von Basis- und Deltasperrlisten konfiguriert sind.

  2. Suchen Sie mithilfe des Zertifikate-Snap-Ins für das Konto des Onlinesperrdiensts auf dem Online-Respondercomputer die aktuelle Deltasperrliste. Überprüfen Sie die Basissperrlistennummer in der Erweiterung Deltasperrlistenanzeige der Deltasperrliste. Diese Nummer sollte auf die Versionsnummer einer veröffentlichten Basissperrliste verweisen.

  3. Wenn die Nummer nicht mit der Versionsnummer einer veröffentlichten Basissperrliste übereinstimmt, veröffentlichen Sie sowohl die Basis- als auch die Sperrliste erneut, indem Sie an einer Eingabeaufforderung den folgenden Befehl eingeben:

    certutil –crl
    
  4. Rufen Sie die aktualisierten Sperrlistendaten des Online-Responders ab. Starten Sie den Online-Responderdienst auf den einzelnen Arraymitgliedern neu, oder klicken Sie im Online-Responder-Snap-In mit der rechten Maustaste auf Arraykonfiguration, und klicken Sie auf Sperrdaten aktualisieren. Überprüfen Sie dann, ob die Basis- und die Deltasperrliste übereinstimmen.

noteHinweis
Wenn das Problem weiterhin besteht, können Sie die CryptoAPI 2.0-Diagnose aktivieren, um die Ursache des Problems zu diagnostizieren. Weitere Informationen finden Sie unter Aktivieren der CryptoAPI 2.0-Diagnose.

Lösung Stellen Sie abhängig von den Ergebnissen der oben genannten Problembehandlungsschritte sicher, dass die Zertifizierungsstelle ordnungsgemäß Zertifikatsperrlisten veröffentlicht und dass diese für den Online-Responderdienst verfügbar sind.

Meldungen des Online-Responder-Snap-Ins

Arraykonfigurationsmeldungen

Die folgenden Ereignisse beziehen sich auf den Status von Arraymitgliedern und werden in der Ansicht Arraykonfiguration angezeigt.

Meldung Offline

Beschreibung Der Offlinestatus eines Arraymitglieds bedeutet, dass mit dem Mitglied keine Verbindung zum Abrufen der Online-Respondereigenschaften oder der Sperrkonfigurationsinformationen hergestellt werden konnte.

Diagnose N/V

Lösung Führen Sie die folgenden Schritte aus, um das Problem zu lösen:

  1. Stellen Sie sicher, dass der Arraymitgliedscomputer ausgeführt wird.

  2. Stellen Sie sicher, dass der Online-Responderdienst (ocspsvc.exe) auf dem Arraymitgliedscomputer ausgeführt wird.

  3. Überprüfen Sie mithilfe des Befehlszeilentools Ping die Netzwerkkonnektivität mit dem Arraymitglied.

  4. Stellen Sie mithilfe des Befehlszeilentools Dcomcnfg sicher, dass der Netzwerkdienst über die Berechtigung zum Aktivieren der IOCSPAdmin-Schnittstelle verfügt.

Meldung Die Respondereigenschaften sind nicht im Arraycontroller vorhanden.

Beschreibung Dieser Fehler kann auftreten, wenn Online-Respondereinstellungen vom Arraycontroller gelöscht wurden und der aktuelle Benutzer nicht über die notwendigen Berechtigungen zum Aktualisieren der Registrierung verfügt.

Diagnose N/V

Lösung Ein Benutzer mit Berechtigungen zum Verwalten des Online-Responders muss das Online-Responder-Snap-In öffnen. Dann können die Eigenschaften und Sperrkonfigurationen des Arrays vom Synchronisierungsmodul erneut synchronisiert werden.

Meldung Die Respondereigenschaften sind nicht synchronisiert.

Beschreibung Diese Meldung wird angezeigt, wenn ein Arraymitglied offline war, während eine Sperrkonfiguration oder Online-Respondereigenschaften geändert wurden.

Diagnose N/V

Lösung Ein Benutzer mit Berechtigungen zum Verwalten des Online-Responders muss das Online-Responder-Snap-In öffnen. Dann können die Eigenschaften und Sperrkonfigurationen des Arrays vom Synchronisierungsmodul erneut synchronisiert werden.

Meldung Online

Beschreibung Das Arraymitglied ist funktionsfähig.

Diagnose N/V

Lösung N/V

Meldung Status unbekannt

Beschreibung Ein unbekannter Arraymitgliedsstatus wird angezeigt, wenn der Arraycontroller offline ist und die Eigenschaften des Arraymitglieds oder die Sperrkonfigurationsinformationen nicht ausgewertet werden können. Dies bedeutet jedoch nicht zwangsläufig, dass das Arraymitglied nicht funktionsfähig ist.

Diagnose N/V

Lösung Führen Sie die folgenden Schritte aus, um das Problem zu lösen:

  1. Stellen Sie sicher, dass der Arraycontrollercomputer ausgeführt wird.

  2. Stellen Sie sicher, dass der Online-Responderdienst (ocspsvc.exe) auf dem Arraycontrollercomputer ausgeführt wird.

  3. Überprüfen Sie mithilfe des Befehlszeilentools Ping die Netzwerkkonnektivität mit dem Arraycontroller.

  4. Stellen Sie mithilfe des Befehlszeilentools Dcomcnfg sicher, dass der Netzwerkdienst über die Berechtigung zum Aktivieren der IOCSPAdmin-Schnittstelle verfügt.

Meldung Arraycontrollername auf dem Mitglied ist ungültig.

Beschreibung Diese Situation kann auftreten, wenn dem Array ein neuer Arraycontroller zugewiesen wurde und die Sicherheitseinstellungen für das gesamte Array geändert wurden, während das Arraymitglied offline war.

Diagnose Führen Sie den folgenden Schritt aus, um das Problem zu diagnostizieren:

  • Überprüfen Sie, ob der aktuelle Benutzer über Berechtigungen für die IOCSPAdmin-Schnittstelle verfügt.

Lösung Ein Benutzer mit Berechtigungen zum Verwalten des Online-Responders muss das Online-Responder-Snap-In öffnen. Dann können die Eigenschaften und Sperrkonfigurationen des Arrays vom Synchronisierungsmodul erneut synchronisiert werden. Klicken Sie mit der rechten Maustaste auf Arraykonfiguration, und klicken Sie auf Mitglieder mit Arraycontroller synchronisieren, um die Konfigurationsdaten des Online-Responders erneut mit allen Arraymitgliedern zu synchronisieren.

Meldung Arraymitgliedsname(n) auf dem Mitglied sind ungültig.

Beschreibung Diese Situation kann auftreten, wenn dem Array ein neues Arraymitglied zugewiesen wurde und die Sicherheitseinstellungen für das gesamte Array geändert wurden, während das Arraymitglied offline war.

Diagnose Führen Sie den folgenden Schritt aus, um das Problem zu diagnostizieren:

  • Überprüfen Sie, ob der aktuelle Benutzer über Berechtigungen für die IOCSPAdmin-Schnittstelle verfügt.

Lösung Ein Benutzer mit Berechtigungen zum Verwalten des Online-Responders muss das Online-Responder-Snap-In starten. Dann können die Eigenschaften und Sperrkonfigurationen des Arrays vom Synchronisierungsmodul erneut synchronisiert werden. Verwenden Sie die Aktion Mitglieder mit Arraycontroller synchronisieren des Arrayknotens, um die Konfigurationsdaten des Online-Responders erneut mit allen Arraymitgliedern zu synchronisieren.

Sperrkonfigurationsmeldungen

Die folgenden Ereignisse beziehen sich auf den Status der Sperrkonfiguration und werden im Online-Responder-Snap-In in der Ansicht Sperrkonfiguration angezeigt.

Meldung Die Sperrkonfiguration ist nicht mit dem Arraycontroller synchronisiert.

Beschreibung Diese Situation kann auftreten, wenn eine Sperrkonfiguration auf dem Arraycontroller geändert wurde, während das Arraymitglied offline war.

Diagnose N/V

Lösung Synchronisieren Sie das Array mithilfe des Online-Responder-Snap-Ins.

Meldung Die Sperrkonfiguration ist nicht auf dem Arraycontroller vorhanden.

Beschreibung Diese Situation kann auftreten, wenn im Online-Responder-Snap-In eine ein Arraymitglied betreffende Aktion ausgeführt wird, während der Arraycontroller offline ist.

Diagnose N/V

Lösung Führen Sie die folgenden Schritte aus, um das Problem zu lösen:

  1. Stellen Sie sicher, dass der Arraycontrollercomputer ausgeführt wird.

  2. Stellen Sie sicher, dass der Online-Responderdienst (ocspsvc.exe) auf dem Arraycontrollercomputer ausgeführt wird.

  3. Überprüfen Sie mithilfe des Befehlszeilentools Ping die Netzwerkkonnektivität mit dem Arraycontroller.

  4. Stellen Sie mithilfe des Befehlszeilentools Dcomcnfg sicher, dass der Netzwerkdienst über die Berechtigung zum Aktivieren der IOCSPAdmin-Schnittstelle verfügt.

Meldung Die Sperrkonfiguration ist nicht auf den Arraymitgliedern vorhanden.

Beschreibung Diese Situation kann auftreten, wenn im Online-Responder-Snap-In eine den Arraycontroller betreffende Aktion ausgeführt wird, während das Arraymitglied offline ist.

Diagnose Führen Sie die folgenden Schritte aus, um das Problem zu diagnostizieren:

  1. Stellen Sie sicher, dass der Arraymitgliedscomputer ausgeführt wird.

  2. Stellen Sie sicher, dass der Online-Responderdienst (ocspsvc.exe) auf dem Arraymitgliedscomputer ausgeführt wird.

  3. Überprüfen Sie mithilfe des Befehlszeilentools Ping die Netzwerkkonnektivität mit dem Arraymitglied.

  4. Stellen Sie mithilfe des Befehlszeilentools Dcomcnfg sicher, dass der Netzwerkdienst über die Berechtigung zum Aktivieren der IOCSPAdmin-Schnittstelle verfügt.

Lösung Wenn das Arraymitglied online und verfügbar ist, verwenden Sie die Aktion Mitglieder mit Arraycontroller synchronisieren des Arrayknotens, um die Konfigurationsdaten des Online-Responders erneut mit allen Arraymitgliedern zu synchronisieren.

Meldung Wird ausgeführt

Beschreibung Der Status "Wird ausgeführt" bedeutet, dass die Sperrkonfiguration erwartungsgemäß funktionsfähig ist.

Diagnose N/V

Lösung N/V

Meldung Ungültiges Signaturzertifikat auf dem Arraycontroller.

Beschreibung Diese Meldung wird angezeigt, wenn beim Online-Responderdienst ein Problem beim Suchen oder Laden des Signaturzertifikats einer bestimmten Konfiguration auftritt.

Diagnose Informationen zu Diagnoseschritten finden Sie weiter oben im Abschnitt zum Ereignis 23.

Lösung Informationen zu Lösungsschritten finden Sie weiter oben im Abschnitt zum Ereignis 23.

Meldung Ungültiges Signaturzertifikat auf Mitgliedern.

Beschreibung Diese Meldung wird angezeigt, wenn beim Online-Responderdienst ein Problem beim Suchen oder Laden des Signaturzertifikats einer bestimmten Konfiguration auftritt.

Diagnose Informationen zu Diagnoseschritten finden Sie weiter oben im Abschnitt zum Ereignis 23.

Lösung Informationen zu Lösungsschritten finden Sie weiter oben im Abschnitt zum Ereignis 23.

Meldung Der Signaturzertifikatstatus ist noch nicht für den Arraycontroller verfügbar.

Beschreibung Diese Meldung weist darauf hin, dass ein Signaturzertifikat für die angegebene Sperrkonfiguration nicht verfügbar ist.

Diagnose Diese Meldung kann angezeigt werden nach dem Erstellen oder Umbenennen einer Sperrkonfiguration oder nach dem Ändern von Signatureigenschaften.

Lösung Aktualisieren Sie die Informationen im Online-Responder-Snap-In, indem Sie im Bereich Aktionen auf Aktualisieren klicken.

Meldung Der Signaturzertifikatstatus ist noch nicht für Arraymitglieder verfügbar.

Beschreibung Diese Meldung weist darauf hin, dass ein Signaturzertifikat für die angegebene Sperrkonfiguration nicht verfügbar ist oder dass ein Signaturzertifikat verfügbar ist, das aber von der Sperrkonfiguration noch nicht erkannt wurde.

Diagnose Diese Meldung kann angezeigt werden nach dem Erstellen oder Umbenennen einer Sperrkonfiguration oder nach dem Ändern von Signatureigenschaften.

Lösung Aktualisieren Sie die Startseite, indem Sie im Bereich Aktionen auf Aktualisieren klicken.

Meldung Der Sperranbieter ist nicht funktionsfähig auf dem Arraycontroller.

Beschreibung Diese Meldung weist darauf hin, dass ein Sperranbieter auf dem Arraycontroller nicht richtig konfiguriert ist.

Diagnose N/V

Lösung Führen Sie die folgenden Schritte aus, um das Problem zu lösen:

  1. Öffnen Sie die Sperranbietereigenschaften für die angegebene Sperrkonfiguration.

  2. Überprüfen Sie, ob alle Parameter richtig sind und sich innerhalb des zulässigen Wertebereichs befinden.

Meldung OCSP-Signaturvorlagen konnten nicht abgerufen werden. %(Fehlermeldung).

Beschreibung Diese Meldung weist darauf hin, dass der Online-Responderdienst eine Liste mit Zertifikatvorlagen zum Ausstellen von OCSP-Antwortsignaturzertifikaten nicht abrufen konnte. Daher kann sich der Online-Responderdienst nicht für ein Signaturzertifikat registrieren.

Diagnose Führen Sie die folgenden Schritte aus, um das Problem zu diagnostizieren:

  1. Überprüfen Sie, ob der Computer, auf dem der Online-Responderdienst ausgeführt wird, über Konnektivität mit einer Zertifizierungsstelle verfügt. Überprüfen Sie mithilfe des Zertifizierungsstellen-Snap-Ins auf der Zertifizierungsstelle, ob die Zertifizierungsstelle für das Ausstellen von auf der OCSP-Antwortsignaturvorlage basierenden Zertifikaten konfiguriert ist.

  2. Überprüfen Sie mithilfe des Zertifikatvorlagen-Snap-Ins, ob der Computer, auf dem der Online-Responder ausgeführt wird, über die Berechtigungen Lesen, Registrieren und Automatisch registrieren für die OCSP-Antwortsignaturvorlage verfügt.

Lösung Führen Sie die folgenden Schritte aus, um das Problem zu lösen:

  1. Konfigurieren Sie die Zertifizierungsstelle zum Ausstellen von auf der OCSP-Antwortsignaturvorlage basierenden Zertifikaten

  2. Erteilen Sie mithilfe des Zertifikatvorlagen-Snap-Ins dem Computer, auf dem der Online-Responder ausgeführt wird, die Berechtigungen Lesen, Registrieren und Automatisch registrieren für die OCSP-Antwortsignaturvorlage.

Aktivieren der CryptoAPI 2.0-Diagnose

Die CryptoAPI 2.0-Diagnose ist ein neues Feature in Windows Vista und Windows Server 2008, das die Problembehandlung im Zusammenhang mit PKIs erleichtert. Das Feature protokolliert in der Ereignisanzeige detailliertere Informationen zur Zertifikatkettenerstellung und -sperrung als die bisherigen CryptoAPI-Problembehandlungstools.

Die CryptoAPI 2.0-Diagnose protokolliert Ereignisse, die im Allgemeinen den aufgerufenen CryptoAPI 2.0-APIs entsprechen. Zusätzlich zu den Parametern und Ergebnissen dieser APIs werden auch Details wie alle Netzwerkabrufversuche, HTTP-Fehler und Proxyereignisse protokolliert. Wenn in einer Anwendung Probleme im Zusammenhang mit der CryptoAPI 2.0 auftreten, können Sie das Problem mit diesem Feature reproduzieren.

Sie können das Feature über die Ereignisanzeige oder mithilfe von Befehlszeilenskripts aktivieren.

So aktivieren Sie die CryptoAPI 2.0-Diagnose über die Ereignisanzeige

  1. Zum Öffnen der Ereignisanzeige klicken Sie im Startmenü mit der rechten Maustaste auf Computer, und klicken Sie dann auf Verwalten. Die Ereignisanzeige befindet sich im Fenster Computerverwaltung unter Systemprogramme.

    noteHinweis
    Bei der Ereignisanzeige handelt es sich um ein MMC-Snap-In, auf das Sie nur mit Administratorrechten zugreifen können.

  2. Navigieren Sie in der Ereignisanzeige zu Anwendungsprotokolle, Microsoft, Windows und dann zu CryptoAPI 2.0 für den CryptoAPI 2.0-Kanal.

  3. Klicken Sie mit der rechten Maustaste auf Betriebsbereit, und klicken Sie dann auf Protokolleigenschaften.

  4. Aktivieren Sie das Kontrollkästchen Protokollierung aktivieren. Damit wird die Protokollierung der CryptoAPI 2.0-Diagnose aktiviert.

  5. Zum Speichern des Protokolls in einer Datei klicken Sie mit der rechten Maustaste auf Betriebsbereit, und klicken Sie dann auf Protokolldatei speichern unter.

    Die Protokolldatei kann im ELF-Format (kann mit der Ereignisanzeige geöffnet werden) oder im XML-Standardformat gespeichert werden.

  6. Wenn sich in den Protokollen vor dem Reproduzieren des Problems bereits Daten befinden, wird empfohlen, die Protokolle zu löschen. Dadurch werden nur die für das Problem relevanten Daten in den gespeicherten Protokollen gesammelt. Zum Löschen der Protokolle klicken Sie mit der rechten Maustaste auf Betriebsbereit, und klicken Sie dann auf Protokoll löschen.

Sie können auch das Tool wevtutil.exe verwenden, um die Protokollierung zu aktivieren und die Protokolle zu speichern.

So aktivieren Sie die CryptoAPI 2.0-Diagnose mithilfe von Befehlszeilenskripts

  1. Klicken Sie mit der rechten Maustaste auf das Programmsymbol der Eingabeaufforderung, und klicken Sie auf Als Administrator ausführen.

  2. Geben Sie an der Eingabeaufforderung die folgenden Befehle ein:

    • Geben Sie Folgendes ein, um die Protokollierung zu aktivieren:

      wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:true
      
    • Geben Sie Folgendes ein, um das Protokoll in einer Datei zu speichern:

      wevtutil.exe epl Microsoft-Windows-CAPI2/Operational filename.elf
      
    • Geben Sie Folgendes ein, um die Protokollierung zu deaktivieren:

      wevtutil.exe sl Microsoft-Windows-CAPI2/Operational /e:false
      
    • Geben Sie Folgendes ein, um die Protokolle zu löschen:

      wevtutil.exe cl Microsoft-Windows-CAPI2/Operational
      

Weitere Ressourcen

Fanden Sie dies hilfreich?
(1500 verbleibende Zeichen)
Vielen Dank für Ihr Feedback.

Community-Beiträge

HINZUFÜGEN
Anzeigen:
© 2015 Microsoft