Karta Podepsání na stránce Vlastnosti online respondéru zobrazuje algoritmus hash sloužící ke snadnějšímu ověření podpisových operací u odpovědí online respondéru klientům.

Je možné konfigurovat následující možnosti podepsání:

  • Nedotazovat se na pověření pro kryptografické operace. Pokud je podpisový klíč silně chráněn dalším heslem, nebude se po výběru této možnosti online respondér dotazovat uživatele na heslo a operace se nezdaří bez upozornění.

    Poznámka

    Tuto možnost nevybírejte, pokud jsou privátní klíče chráněny modulem hardwarového zabezpečení (HSM).

  • Automaticky použít obnovené podpisové certifikáty. Zajistí, že online respondér automaticky použije obnovené podpisové certifikáty, aniž by požádal správce online respondéru o jejich ruční přiřazení.

  • Povolit podporu přípony NONCE. Zajistí, že online respondér zkontroluje a zpracuje požadavek protokolu OCSP (Online Certificate Status Protocol), který zahrnuje příponu nonce. Pokud požadavek protokolu OCSP obsahuje příponu nonce a je vybrána tato možnost, bude online respondér ignorovat odpověď protokolu OCSP uloženou v mezipaměti a vytvoří novou odpověď, která bude obsahovat příponu nonce obsaženou v požadavku. Je-li tato možnost vypnuta a je přijat požadavek obsahující příponu nonce, označí online respondér tento požadavek za neoprávněný a zamítne jej.

    Poznámka

    Klient Microsoft OCSP nepodporuje příponu nonce.

  • Použít libovolný platný podpisový certifikát protokolu OCSP. Ve výchozím nastavení bude online respondér používat pouze podpisové certifikáty vystavené stejnou certifikační autoritou (CA), která vystavila ověřovaný certifikát. Tato možnost povolí změnu výchozího chování a způsobí, že online respondér použije jakýkoli platný stávající certifikát, který zahrnuje rozšířené použití klíče pro podepisování protokolu OCSP.

    Poznámka

    V klientech se spuštěným systémem Windows starším než Windows Vista s aktualizací Service Pack 1 (SP1) není tato možnost podporována a pokud bude vybrána, žádosti o stav certifikátu z těchto klientů se nezdaří.

Pomocí následujících možností identifikátoru online respondéru lze vybrat, zda bude do odpovědi zahrnut algoritmus hash klíče nebo subjekt podpisového certifikátu:

  • Algoritmus hash klíče podpisového certifikátu. Při přístupu k privátním klíčům požadují někteří zprostředkovatelé kryptografických služeb (CSP) algoritmus hash klíče podpisového certifikátu.

  • Subjekt podpisového certifikátu. Při přístupu k privátním klíčům požadují někteří zprostředkovatelé kryptografických služeb subjekt podpisového certifikátu.


Obsah