Karta OCSP slouží správcům k přidávání adres URL respondérů protokolu OCSP (Online Certificate Status Protocol) k certifikátům vydávající certifikační autority, které jsou distribuovány členům domény služby Active Directory pomocí zásad skupiny. Tím umožňuje organizacím přidat respondéry protokolu OCSP k existující infrastruktuře veřejných klíčů (PKI), aniž by by bylo nutné opakovaně vystavit certifikát certifikační autority nebo certifikát vydaný certifikační autoritou v minulosti. Takto poskytnuté adresy URL respondérů protokolu OCSP slouží k ověření stavu odvolání certifikátů vydaných certifikační autoritou.
Při realizaci tohoto postupu se vyžaduje členství minimálně ve skupině Enterprise Admins.
Postup přidání respondéra OCSP k certifikátu certifikační autority |
V nabídce Start klikněte na příkaz Spustit. Zadejte příkaz gpmc.msc a klikněte na tlačítko OK. Otevře se Konzola pro správu zásad skupiny (GPMC).
Ve stromu konzoly rozbalte doménovou strukturu a doménu obsahující zásadu, kterou chcete upravit, a klikněte na tlačítko Objekty zásad skupiny.
Klikněte pravým tlačítkem na zásadu, kterou chcete upravit, a potom klikněte na tlačítko Upravit.
Ve stromu konzoly v části Konfigurace počítače rozbalte položky Zásady, Nastavení systému Windows, Nastavení zabezpečení, Zásady veřejných klíčů a Zprostředkující certifikační autority.
Nejsou-li zobrazeny žádné certifikáty certifikační autority, exportujte certifikát z vydávající certifikační autority a importujte jej do seznamu Zprostředkující certifikační autority. Další informace naleznete v tématu Export certifikátu.
Klikněte pravým tlačítkem na certifikát certifikační autority, klikněte na příkaz Vlastnosti a potom klikněte na kartu OCSP.
Zadejte adresu URL respondéru OCSP a klikněte na tlačítko Přidat adresu URL.
Chcete-li, aby členové domény nemohli stahovat seznamy odvolaných certifikátů (CRL) z distribučních bodů, které jsou uvedeny ve vydaných certifikátech, zaškrtněte políčko Zakázat seznamy odvolaných certifikátů (CRL).
Upozornění Zakázání seznamů CRL není doporučeno. Jsou-li uvedeny adresy URL jak pro seznamy CRL tak i pro protokol OCSP, mají adresy protokolu OCSP přednost. Kontrolní proces odvolání certifikátu však může rozhodnout, že stažení jediného seznamu CRL a jeho uložení do mezipaměti je efektivnější než několik dotazů protokolu OCSP.
Změny uložte kliknutím na tlačítko OK.
Poznámka | |
Změny v zásadách skupiny jsou uplatněny členy domény při periodické aktualizaci dané hodnotou intervalu aktualizace zásad skupiny, v průběhu spouštění počítače nebo při přihlašování uživatele. Výchozí hodnota intervalu je 90 minut. Chcete-li aktualizovat zásady skupiny člena domény ihned, spusťte příkaz Gpupdate. |
Další informace
- Nastavení služeb online respondéra v síti (
https://go.microsoft.com/fwlink/?LinkId=143098 (tato stránka může obsahovat informace v angličtině) ) - Zobrazení vlastností certifikátu