有关联机响应程序的疑难解答

应用到: Windows Server 2008 R2

本节列出了使用“联机响应程序”管理单元或使用联机响应程序数组时可能遇到的一些常见问题。有关解决联机响应程序遇到的问题的详细信息,请参阅 Active Directory Certificate Services Troubleshooting (http://go.microsoft.com/fwlink/?LinkId=89215)(可能为英文网页)。

您遇到了什么问题?

联机响应程序服务未启动。
  • 原因:联机响应程序服务可能由于注册表信息损坏或系统资源不足而无法启动。

  • 解决方案:尝试从“服务”管理单元 (Services.msc) 重新启动联机响应程序服务。如果联机响应程序服务无法启动,请在事件日志中检查可能与此失败有关的其他错误。如果由于系统资源不足而无法启动联机响应程序服务,则尝试重新启动计算机或释放系统资源。如果注册表信息损坏,必须使用“服务器管理器”卸载并重新安装联机响应程序服务。

找不到联机响应程序的签名证书。
  • 原因:OCSP 响应签名证书在计算机帐户的个人证书存储中不存在,或者本应使用自动注册颁发签名证书,但是自动注册未完成。

  • 解决方案:如果 OCSP 响应签名证书在本地计算机的个人证书存储中不存在,并且为手动注册 OCSP 响应签名证书或自动发现配置了吊销,应手动注册证书。对于由联机响应程序服务注册其证书的配置,将无法进行手动注册,需要确定无法进行自动注册的原因。可能的原因包括:

    • 运行联机响应程序服务的计算机无法连接到已配置为基于 OCSP 响应签名模板颁发证书的证书颁发机构 (CA)。

    • 联机响应程序对 OCSP 响应签名模板没有读取、注册和(如果使用自动注册)自动注册权限。

尝试创建吊销配置失败。
  • 原因:尝试创建吊销配置失败,并出现消息“数组控制器上的签名证书不正确”。

  • 解决方案:验证是否已正确配置 OCSP 响应签名证书模板。如果未正确配置,应配置证书模板,以便手动注册这些签名证书。

联机响应程序配置的签名证书即将过期。
  • 原因:未使用自动注册时,如果证书配置了剩余生存期百分比(默认情况下是总有效期的 10%),将自动生成提醒,提醒您续订即将过期的证书。可以使用“证书”管理单元检查计算机的个人证书存储中或联机响应程序服务中的 OCSP 响应签名证书,以检查当前签名证书的剩余时间。

  • 解决方案:如果已为自动注册和续订配置了 OCSP 响应签名证书模板,可能不需要进行进一步的操作。对于手动配置,可以使用“证书”管理单元和“证书续订向导”续订签名证书。

吊销配置的签名证书已过期。
  • 原因:在过期日期之前,自动续订签名证书失败或未完成手动证书续订。

  • 解决方案:对于由联机响应程序服务注册其证书的配置,将无法进行手动注册,需要确定无法进行自动注册的原因。可能的原因包括:

    • 运行联机响应程序服务的计算机无法连接到已配置为基于 OCSP 响应签名模板颁发证书的 CA。

    • 联机响应程序对 OCSP 响应签名模板没有读取、注册和自动注册权限。

    CA 管理员应先使用“证书颁发机构”和“证书模板”管理单元验证 OCSP 响应签名模板的可用性和配置,然后再重新尝试自动注册。

    如果为手动注册 OCSP 响应签名证书设置了吊销配置,在联机响应程序计算机的本地计算机个人证书存储中找到该签名证书。

    对于手动配置,可以使用“证书”管理单元和“证书续订向导”续订签名证书。

    OCSP 响应签名证书无法续订也可能是由于,用于为原始 OCSP 响应签名证书签名的 CA 密钥已续订,无法再使用。若要解决此问题,必须允许使用现有密钥续订 OCSP 响应签名证书。有关详细信息,请参阅使用现有密钥续订 OCSP 响应签名证书

无法加载联机响应程序吊销配置。
  • 原因:吊销配置已损坏。

  • 解决方案:使用“联机响应程序”管理单元删除并重新创建吊销配置。如果在数组成员上出现此问题,可以将损坏的配置从数组成员中删除,然后同步数组,以重新创建吊销配置。如果在数组控制器上遇到此问题,暂时将另一台计算机设置为数组控制器,并同步数组,然后将原始计算机重置为数组控制器。

联机响应程序服务无法检索指定吊销配置的 CRL。
  • 原因:证书吊销列表 (CRL) 发布失败,CRL 分发点无效,或联机响应程序服务无法访问已发布的 CRL。

  • 解决方案:若要确定并解决联机响应程序的 CRL 检索问题,请执行下列操作:

    1. 使用“联机响应程序”管理单元验证为基本 CRL 分发点和增量 CRL 分发点配置的 URL 是否有效。

    2. 使用“证书颁发机构”管理单元验证 CA 将基本 CRL 和增量 CRL 发布到的 URL。

    3. 在将基本 CRL 发布到的计算机上,检查基本 CRL 的“最新 CRL”扩展。验证是否标识可以找到增量 CRL 的位置。

    4. 如果需要,通过在命令提示符下键入以下命令,重新发布当前的 CRL: certutil -crl

    5. 然后,验证联机响应程序服务是否可以访问 CRL。在“联机响应程序”管理单元中,右键单击“数组配置”,然后单击“刷新吊销数据”

社区附加资源

添加
显示: