Auf der Registerkarte Signatur der Seite Eigenschaften des Online-Responders wird der Hashalgorithmus angezeigt, mit dessen Hilfe Signaturvorgänge für Antworten von Online-Respondern an Clients überprüft werden.
Folgende Signaturoptionen können konfiguriert werden:
-
Keine Aufforderung zur Eingabe von Anmeldeinformationen für Kryptografievorgänge anzeigen. Wenn der Signaturschlüssel durch ein zusätzliches Kennwort geschützt ist, fordert der Online-Responder bei Aktivierung dieser Option den Benutzer nicht zur Eingabe des Kennworts auf und kann nicht ausgeführt werden. Dabei wird keine Warnung ausgegeben.
Hinweis Wählen Sie diese Option nicht aus, wenn für den Schutz privater Schlüssel ein Hardwaresicherheitsmodul (Hardware Security Module, HSM) verwendet wird.
-
Automatisch erneuerte Signaturzertifikate verwenden. Weist den Online-Responder an, erneuerte Signaturzertifikate automatisch zu verwenden, ohne dass der Administrator des Online-Responders diese manuell zuweisen muss.
-
Unterstützung von NONCE-Erweiterungen aktivieren. Weist den Online-Responder an, eine OCSP-Anforderung (Online Certificate-Statusprotokoll) zu überprüfen und zu verarbeiten, die eine NONCE-Erweiterung enthält. Wenn diese Option ausgewählt ist und eine OCSP-Anforderung eine NONCE-Erweiterung enthält, ignoriert der Online-Responder alle zwischengespeicherten OCSP-Antworten und erstellt eine neue Antwort mit der in der Anforderung enthaltenen NONCE-Erweiterung. Wenn diese Option deaktiviert ist und eine Anforderung mit einer NONCE-Erweiterung empfangen wird, wird die Anforderung vom Online-Responder mit der Fehlermeldung "Nicht autorisiert" abgelehnt.
Hinweis Die NONCE-Erweiterung wird vom Microsoft OCSP-Client nicht unterstützt.
-
Ein beliebiges gültiges OCSP-Signaturzertifikat verwenden. Standardmäßig werden vom Online-Responder nur Signaturzertifikate verwendet, die von der gleichen Zertifizierungstelle ausgestellt wurden wie das gerade überprüfte Zertifikat. Mit dieser Option kann das Standardverhalten geändert werden, und der Online-Responder wird angewiesen, jedes gültige vorhandene Zertifikat zu verwenden, das die EKU-Erweiterung der OCSP-Signatur enthält.
Hinweis Auf Clients unter früheren Versionen von Windows als Windows Vista mit Service Pack 1 (SP1) wird diese Option nicht unterstützt, und bei Zertifikatstatusanforderungen von diesen Clients treten Fehler auf, wenn diese Option ausgewählt ist.
Folgende Online-Responder-ID-Optionen können verwendet werden, um festzulegen, ob die Antwort das Schlüsselhash oder den Antragsteller des Signaturzertifikats enthalten soll:
-
Schlüsselhash des Signaturzertifikats. Einige Kryptografiedienstanbieter (Cryptographic Service Providers, CSPs) benötigen den Schlüsselhash des Signaturzertifikats, um auf private Schlüssel zuzugreifen.
-
Antragsteller des Signaturzertifikats. Einige Kryptografiedienstanbieter benötigen den Antragsteller des Signaturzertifikats, um auf private Schlüssel zuzugreifen.