Die Sperrprüfung über den Onlineresponder (OCSP) schlägt fehl mit HTTP Fehlercode 404 (HTTP_E_STATUS_NOT_FOUND)

Folgendes Szenario angenommen:

Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".

Die Managementkonsole für die Unternehmens-PKI (Enterprise PKI, pkiview.msc) zeigt den Status "Error" an.

Genauer kann man den Status prüfen, indem man ein beliebiges gültiges Zertifikat als Datei exportiert und eine Prüfung per Kommandozeile durchführt:

certutil -verify -urlfetch <Dateiname-Zertifikat>.cer

Bei Prüfung der Default Web Site im Internetinformationsdienste-Manager zeigt sich, dass der benötigte virtuelle Ordner "ocsp" nicht vorhanden ist.

Erstellt werden kann der virtuelle Ordner mit folgendem Kommandozeilenbefehl:

certutil -voscproot

Die Einstellung ist ohne Neustart des Web Server Dienstes wirksam.

Bitte beachten, dass die Unternehmens-PKI Managementkonsole weiterhin einen Fehler anzeigen wird, da die vorherige negative Antwort clientseitig zwischengespeichert wird. Um diesen Cache zu löschen, siehe Artikel "Den Adress-Zwischenspeicher für Sperrlisten (CRL URL Cache) einsehen und löschen".

Weiterführende Links: