Los administradores usan la ficha OCSP para agregar direcciones URL del Respondedor del Protocolo de estado de certificados en línea (OCSP) a certificados de la entidad de certificación (CA) emisora, que se distribuyen mediante la directiva de grupo a miembros del dominio de Active Directory. Esto permite a las organizaciones agregar Respondedores de OCSP a una infraestructura de clave pública (PKI) existente sin tener que volver a emitir el certificado de CA o cualquier certificado emitido anteriormente por la CA. Las direcciones URL del Respondedor de OCSP proporcionadas de este modo se usan para comprobar el estado de revocación de los certificados emitidos por la CA.

Para poder completar este procedimiento, debe pertenecer como mínimo al grupo Administradores de organización.

Para agregar una dirección URL del Respondedor de OCSP a un certificado de CA
  1. Haga clic en Inicio y, a continuación, en Ejecutar. Escriba gpmc.msc y, a continuación, haga clic en Aceptar para abrir la Consola de administración de directivas de grupo (GPMC).

  2. En el árbol de consola, expanda el bosque y el dominio que contienen la directiva que desea modificar y, a continuación, haga clic en Objetos de directiva de grupo.

  3. Haga clic con el botón secundario en la directiva que desee modificar y, a continuación, haga clic en Editar.

  4. En el árbol de consola, en Configuración del equipo, expanda Directivas, Configuración de Windows, Configuración de seguridad, Directivas de clave pública y Entidades de certificación intermedias.

  5. Si no se muestra ningún certificado de CA, exporte el certificado de CA desde la CA emisora e impórtelo en Entidades de certificación intermedias. Vea Exportar un certificado.

  6. Haga clic con el botón secundario en el certificado de CA, haga clic en Propiedades y, a continuación, haga clic en la ficha OCSP.

  7. Escriba una dirección URL del Respondedor de OCSP y haga clic en Agregar URL.

  8. Si desea impedir que los miembros de dominio descarguen las CRL de las ubicaciones de puntos de distribución de CRL especificadas en los certificados emitidos, active la casilla Deshabilitar listas de revocación de certificados (CRL).

    Precaución

    No se recomienda deshabilitar las CRL. El OCSP tiene prioridad sobre las CRL cuando se proporcionan direcciones URL para ambos. Sin embargo, el proceso de comprobación de revocación determina cuándo la descarga y el almacenamiento en caché de una única CRL es más eficaz que varias solicitudes de OCSP.

  9. Haga clic en Aceptar para guardar los cambios.

Nota

Los miembros del dominio aplican los cambios en la directiva de grupo periódicamente según el intervalo de actualización de la directiva de grupo, durante el inicio del equipo y durante el inicio de sesión de usuario. El intervalo de actualización predeterminado es de 90 minutos. Para actualizar inmediatamente la directiva de grupo en un miembro del dominio, ejecute el comando Gpupdate.

Referencias adicionales


Tabla de contenido