Tilbagekald af et certifikat ugyldiggør et certifikat som legitimationsoplysninger, der er tillid til, før det planlagte udløb af gyldighedsperioden. En infrastruktur for offentlige nøgler afhænger af den distribuerede kontrol af legitimationsoplysninger, hvor der ikke er behov for direkte kommunikation med den centrale enhed, der er tillid til, som garanterer ægtheden af legitimationsoplysningerne.
Klientcomputeren skal fastslå, om certifikatet er gyldigt eller tilbagekaldt, for effektivt at understøtte tilbagekald af certifikater. Certifikattjenester i Active Directory understøtter standardmetoderne til tilbagekald af certifikater for at understøtte forskellige situationer. Disse omfatter publicering af lister over tilbagekaldte certifikater og deltalister over tilbagekaldte certifikater forskellige steder, som klienter har adgang til, herunder Active Directory Domain Services, webservere og netværksfilshares. I Windows kan tilbagekaldsdata også gøres tilgængelige i forskellige indstillinger via OCSP-svar (Online Certificate Status Protocol).
 | Bemærk! |
|
Lister over tilbagekaldte certifikater publiceres til angivne steder på netværket med regelmæssige mellemrum og kan hentes via klientcomputere. OCSP-svar er digitalt signerede svar, der angiver, om et certifikat er tilbagekaldt eller midlertidigt deaktiveret, eller om dets status er ukendt. OCSP-respondenter får deres data fra publicerede lister over tilbagekaldte certifikater, eller de kan opdateres direkte fra et nøglecenters certifikatstatusdatabase. |
Derudover gør gruppepolitik for offentlige nøgler det muligt for administratoren at udvide brugen af lister over tilbagekaldte certifikater og onlinerespondenter, især i situationer, hvor meget store lister over tilbagekaldte certifikater eller netværksforhold forringer ydeevnen.
Dette emne indeholder procedurer til følgende opgaver:
Konfigurere indstillinger for tilbagekald på en lokal computer
Du skal som minimum være medlem af gruppen Administratorer for at kunne udføre denne procedure.
 | Sådan konfigureres indstillinger for tilbagekald på en lokal computer |
Klik på Start, skriv gpedit.msc i feltet Søg i alle programmer og filer, og tryk på Enter.
Klik på Politikker for offentlige nøgler under Lokal computerpolitik\Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger i konsoltræet.
Klik på Indstillinger for validering af certifikatsti, og klik derefter på fanen Tilbagekald.
Markér feltet Definer disse politikindstillinger, marker de ønskede politikindstillinger, og klik derefter på OK for at anvende de nye indstillinger.
Konfigurere tilbagekaldsindstillinger for en enhed
Domæneadministrator er det mindste gruppemedlemskab, der kræves for at fuldføre proceduren.
| Sådan konfigureres tilbagekaldsindstillinger for en enhed |
Klik på Start, peg på Administration, og klik derefter på Serverstyring.
Klik på Tilføj funktioner under Funktionsoversigt. Marker afkrydsningsfeltet Administration af gruppepolitik, klik derefter på Næste, og klik derefter på Installer
Klik på Luk, når siden Resultat af installation viser, at installationen af GPMC (Group Policy Management Console) lykkedes.
Klik på Start, peg på Administration, og klik derefter på Administration af gruppepolitik.
Dobbeltklik i konsoltræet for at udvide Gruppepolitikobjekter i det område og domæne, der indeholder gruppepolitikobjektet for den standarddomænepolitik, du vil redigere.
Højreklik på gruppepolitikobjektets standarddomænepolitik, og klik derefter på Rediger.
Klik på Politikker for offentlige nøgler under Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger i konsoltræet.
Klik på Indstillinger for validering af certifikatsti, og klik derefter på fanen Tilbagekald.
Markér feltet Definer disse politikindstillinger, marker de ønskede politikindstillinger, og klik derefter på OK for at anvende de nye indstillinger.
Udvide gyldighedsperioden for svar fra lister over tilbagekaldte certifikater og OCSP-svar for en lokal computer
Du skal som minimum være medlem af gruppen Administratorer for at kunne udføre denne procedure.
| Sådan udvides gyldighedsperioden for svar fra lister over tilbagekaldte certifikater og OCSP-svar for en lokal computer |
Klik på Start, skriv gpedit.msc i feltet Søg i alle programmer og filer, og tryk på Enter.
Klik på Politikker for offentlige nøgler under Lokal computerpolitik\Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger i konsoltræet.
Klik på Indstillinger for validering af certifikatsti, og klik derefter på fanen Tilbagekald.
Marker feltet Definer disse politikindstillinger, og marker derefter feltet Tillad, at svar på lister over tilbagekaldte certifikater og OCSP-svar er gyldige længere end deres levetid.
Markér Det tidsrum, gyldighedsperioden kan udvides med, indtast den ønskede tidsværdi (i timer), og klik derefter på OK for at anvende de nye indstillinger.
Udvide gyldighedsperioden for svar fra lister over tilbagekaldte certifikater og OCSP-svar for et domæne
Domæneadministrator er det mindste gruppemedlemskab, der kræves for at fuldføre proceduren.
| Sådan udvides gyldighedsperioden for svar fra lister over tilbagekaldte certifikater og OCSP-svar for et domæne |
Klik på Start, peg på Administration, og klik derefter på Serverstyring.
Klik på Tilføj funktioner under Funktionsoversigt. Markér afkrydsningsfeltet Administration af gruppepolitik, klik derefter på Næste, og klik derefter på Installer
Klik på Luk, når siden Resultat af installation viser, at installationen af GPMC (Group Policy Management Console) lykkedes.
Klik på Start, peg på Administration, og klik derefter på Administration af gruppepolitik.
Dobbeltklik i konsoltræet for at udvide Gruppepolitikobjekter i det område og domæne, der indeholder gruppepolitikobjektet for den standarddomænepolitik, du vil redigere.
Højreklik på gruppepolitikobjektets standarddomænepolitik, og klik derefter på Rediger.
Klik på Politikker for offentlige nøgler under Computerkonfiguration\Windows-indstillinger\Sikkerhedsindstillinger i konsoltræet.
Klik på Indstillinger for validering af certifikatsti, og klik derefter på fanen Tilbagekald.
Markér feltet Definer disse politikindstillinger, og markér derefter feltet Tillad, at svar på lister over tilbagekaldte certifikater og OCSP-svar er gyldige længere end deres levetid.
Marker Det tidsrum, gyldighedsperioden kan udvides med, indtast den ønskede tidsværdi (i timer), og klik derefter på OK for at anvende de nye indstillinger.
Yderligere referencer