Para funcionar adecuadamente, un Respondedor en línea debe tener un certificado de firma de respuesta de Protocolo de estado de certificados en línea (OCSP). Este certificado de firma del Servicio de respuesta de OCSP también es necesario si se usa un Respondedor de OCSP que no es de Microsoft.

La configuración de una entidad de certificación (CA) para que admita Respondedores de OCSP incluye los siguientes pasos:

  1. Configurar las plantillas de certificado y las propiedades de emisión de los certificados de firma de respuesta de OCSP.

  2. Configurar los permisos de inscripción para los equipos que hospedarán los Respondedores en línea.

  3. Si es una CA basada en Windows Server 2003, habilite la extensión OCSP en los certificados emitidos.

  4. Agregar la ubicación del Respondedor en línea o del Respondedor de OCSP a la extensión de acceso a información de entidad de certificación en la CA.

  5. Habilitar la plantilla de certificado Firma de respuesta de OCSP para la CA.

La plantilla de certificado que se usó para emitir un certificado Firma de respuesta de OCSP debe contener una extensión con el título "Comprobación de no revocación de OCSP" y la directiva de aplicación de firma de OCSP. También se deben configurar los permisos para permitir que el equipo que hospedará al Respondedor en línea inscriba este certificado.

Se debe seguir el siguiente procedimiento para una CA que se instale en un equipo con Windows Server 2008 R2 o Windows Server 2008.

Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más información acerca de la administración de una infraestructura de clave pública (PKI), vea Implementación de la administración basada en funciones.

Para configurar una plantilla de certificado para un certificado Firma de respuesta de OCSP emitido por una CA basada en Windows Server 2008 R2 o una CA basada en Windows Server 2008
  1. Abra el complemento Plantillas de certificado.

    Nota

    Si está realizando este procedimiento en un equipo que no tiene una CA o un Respondedor en línea instalado, es posible que deba instalar las Herramientas de administración remota del servidor de Servicios de certificados de Active Directory (AD CS) a fin de usar el complemento Plantillas de certificado. Para obtener más información acerca de las Herramientas de administración remota del servidor, vea Administración de un Respondedor en línea desde otro equipo.

  2. Haga clic con el botón secundario en la plantilla Firma de respuesta de OCSP y, a continuación, haga clic en Propiedades.

  3. Haga clic en la ficha Seguridad. En Nombre de grupo o de usuario, haga clic en Agregar.

  4. Haga clic en Tipos de objeto, active la casilla Equipos y, a continuación, haga clic en Aceptar.

  5. Escriba el nombre o localice y seleccione el equipo que hospeda los Respondedores en línea o los Respondedores OCSP, y haga clic en Aceptar.

  6. En el cuadro de diálogo Nombres de grupos o usuarios, haga clic en el nombre del equipo y, en el cuadro de diálogo Permisos, active las casillas Leer e Inscribir Después, haga clic en Aceptar.

Siga el siguiente procedimiento para una CA que se instale en un equipo con Windows Server 2003. El procedimiento se debe realizar en un equipo con Windows Server 2008 R2 o Windows Server 2008.

Para poder realizar este procedimiento, es necesario, como mínimo, pertenecer a Admins. del dominio, Administradores de empresas o a otro grupo equivalente. Para obtener más información acerca de la administración de una PKI, vea Implementación de la administración basada en funciones.

Para configurar una plantilla de certificado para un certificado Firma de respuesta de OCSP emitido por una CA basada en Windows Server 2003
  1. Abra el complemento Plantillas de certificado.

  2. Haga clic con el botón secundario en la plantilla Firma de respuesta de OCSP y, a continuación, haga clic en Duplicar. Haga clic en Windows 2003 Server, Enterprise Edition y, a continuación, haga clic en Aceptar.

  3. Haga clic en la ficha Seguridad. En Nombre de grupo o de usuario, haga clic en Agregar y, a continuación, escriba el nombre o localice y seleccione el equipo que hospeda los servicios Respondedor en línea o los servicios Respondedor de OCSP.

  4. Haga clic en Tipos de objeto, active la casilla Equipos y, a continuación, haga clic en Aceptar.

  5. Escriba el nombre o localice y seleccione el equipo que hospeda los Respondedores en línea o los Respondedores de OCSP, y haga clic en Aceptar.

  6. En el cuadro de diálogo Nombres de grupos o usuarios, haga clic en el nombre del equipo y, en el cuadro de diálogo Permisos, active las casillas Leer e Inscribir

Nota

La plantilla de certificado Firma de respuesta de OCSP predeterminada contiene una extensión con el título "Comprobación de no revocación de OCSP". No elimine esta extensión, ya que muchos clientes la usan para comprobar que las respuestas firmadas con el certificado de firma son válidas.

Si la CA se instala en un equipo con Windows Server 2003, debe realizar el siguiente procedimiento a fin de configurar el módulo de directiva en la CA para emitir certificados que incluyan esta extensión.

Para completar este procedimiento debe ser un administrador local. Para obtener más información acerca de la administración de una PKI, vea Implementación de la administración basada en funciones.

Para preparar un equipo que ejecute Windows Server 2003 para emitir certificados de Firma de respuesta de OCSP
  1. En el equipo que hospeda la CA, abra una ventana del símbolo del sistema y escriba:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
  2. Detenga y vuelva a iniciar la CA. Puede hacer esto en un símbolo del sistema mediante la ejecución de los siguientes comandos:

    net stop certsvc
    net start certsvc

Para configurar su CA para OCSP, debe usar el complemento Entidad de certificación para llevar a cabo los siguientes pasos de configuración:

  • Agregar la ubicación del Respondedor en línea o del Respondedor de OCSP a la extensión de acceso a información de entidad de certificación.

  • Habilitar la plantilla de certificado para la CA.

Para completar este procedimiento, debe ser un administrador de CA. Para obtener más información acerca de la administración de una PKI, vea Implementación de la administración basada en funciones.

Para configurar una CA para que admita servicios Respondedor en línea o servicios Respondedor de OCSP
  1. Abra el complemento Entidad de certificación.

  2. En el árbol de consola, haga clic en el nombre de la CA.

  3. En el menú Acción, haga clic en Propiedades.

  4. Haga clic en la ficha Extensiones.

  5. En la lista Seleccionar extensión, haga clic en Acceso a la información de entidad (AIA) y, a continuación, haga clic en Agregar.

  6. Especifique las ubicaciones desde las cuales los usuarios pueden obtener los datos de revocación de certificados como, por ejemplo, http://computername/ocsp.

  7. Active la casilla Incluir en la extensión del Protocolo de estado de certificados en línea (OCSP).

  8. En el árbol de consola del complemento Entidad de certificación, haga clic con el botón secundario en Plantillas de certificados y, a continuación, haga clic en Plantilla de certificado que se va a emitir.

  9. En Habilitar plantillas de certificados, seleccione la plantilla Firma de respuesta de OCSP y cualquier otra plantilla de certificado que haya configurado anteriormente y, a continuación, haga clic en Aceptar.

  10. Haga doble clic en Plantillas de certificado y compruebe que las plantillas de certificado modificadas aparecen en la lista.


Tabla de contenido