Der Onlineresponder (OCSP) meldet "The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND)"

Folgendes Szenario angenommen:

  • Es ist ein Onlineresponder (OCSP) im Netzwerk konfiguriert.
  • Für eine Zertifizierungsstelle ist OCSP aktiviert und eine Sperrkonfiguration eingerichtet.
  • Die Verwaltungskonsole für den Onlineresponder zeigt folgenden Status für die Sperrkonfiguration an:
Type: Microsoft CRL-based revocation status provider
The revocation provider failed with the current configuration. The object identifier does not represent a valid object. 0x800710d8 (WIN32: 4312 ERROR_OBJECT_NOT_FOUND), 0x800710d8

Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".

Im Ereignisprotokoll werden die Ereignisse Nr. 16 und 17 der Quelle Microsoft-Windows-OnlineResponderRevocationProvider protokolliert.

Ursache

Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.

Tritt auf, wenn die in der Sperrkonfiguration konfigurierte Sperrlistenadresse nicht verfügbar ist. Der Webserver, der die Sperrliste bereitstellt, wird den HTTP Fehler 404 (Not Found) melden.

In den meisten Fällen sollte die Konfiguration zur Sperrlistenveröäffentlichtung auf der Zertifizierungsstelle überprüft werden. Falls es scriptbasierte Jobs für den Transfer der Sperrlisten auf die Webserver gibt, sollten diese auf korrekte Funktion überprüft werden.

Nachdem der Fehler behoben wurde, sollte die Sperrkonfiguration neu geladen werden.

Per Windows PowerShell kann das Neu Laden der Sperrkonfigurationen mit folgendem Code erfolgen:

$OcspAdmin = New-Object -ComObject "CertAdm.OCSPAdmin"
$OcspAdmin.GetConfiguration(
    $env:ComputerName,
    $True
    )
$OcspAdmin.OCSPCAConfigurationCollection | ForEach-Object {
    $_.HashAlgorithm = $_.HashAlgorithm
}
$OcspAdmin.SetConfiguration(
    $env:ComputerName,
    $True
)

de_DEDeutsch