Varmenteen kumoaminen aiheuttaa sen, että varmenne menettää asemansa luotettuna suojaustunnistetietona ennen sen ajoitetun voimassaoloajan päättymistä. Julkisen avaimen infrastruktuuri (PKI) perustuu tunnistetietojen jaettuun varmistamiseen, jolloin suoraa yhteyttä tunnistetiedoista vastaavaan luotettuun organisaatioon ei tarvita.
Asiakastietokoneen on määritettävä, onko varmenne voimassa vai kumottu, jotta varmenteen kumoamista tuettaisiin tehokkaasti. Active Directory -varmennepalvelut tukee yleisesti käytettyjä varmenteen kumoamismenetelmiä eri skenaarioita varten. Näihin kuuluvat varmenteiden kumousluetteloiden ja muuttuneiden kumousluetteloiden julkaiseminen useissa sijainneissa, joihin asiakkailla on käyttöoikeus, kuten Active Directory -toimialueen palveluissa, WWW-palvelimissa ja verkon jaetuissa tiedostoresursseissa. Windowsissa kumoamistiedot voidaan tehdä käytettäviksi myös useiden eri asetusten avulla OCSP (Online Certificate Status Protocol) -vastausten kautta.
 | Huomautus |
|
Varmenteiden kumousluettelot julkaistaan säännöllisin väliajoin määritettyihin verkkosijainteihin, josta asiakastietokoneet voivat ne ladata. OCSP-vastaukset ovat digitaalisesti allekirjoitettuja vastauksia, jotka ilmaisevat, onko yksittäinen varmenne kumottu, onko sen käyttö keskeytetty vai onko sen tila tuntematon. OCSP-vastaajat saavat tietonsa julkaistuista varmenteiden kumousluetteloista tai ne voidaan päivittää suoraan varmenteiden myöntäjän varmenteen tila -tietokannasta. |
Lisäksi järjestelmänvalvojat voivat julkisen avaimen ryhmäkäytännön avulla tehostaa varmenteiden kumousluetteloiden ja OCSP-vastaajien käyttöä erityisesti tilanteissa, joissa erittäin suuret varmenteiden kumousluettelot tai heikko verkkoyhteys heikentävät suorituskykyä.
Tässä ohjeaiheessa on toimet seuraavien tehtävien tekemiseen:
Paikallisen tietokoneen kumousasetusten määrittäminen
Toimintovaiheiden suorittamiseen tarvitaan vähintään Järjestelmänvalvojat-ryhmän jäsenyys.
 | Paikallisen tietokoneen kumousasetusten määritys |
Napsauta Käynnistä-painiketta, kirjoita Hae ohjelmista ja tiedostoista -ruutuun gpedit.msc ja paina sitten ENTER-näppäintä.
Valitse konsolipuun Paikallinen tietokonekäytäntö\Tietokoneasetukset\Windows-asetukset\Suojausasetukset -kohdassa Julkisten avainten käytännöt.
Kaksoisnapsauta Varmennepolun vahvistusasetukset -kohtaa ja valitse sitten Kumoaminen-välilehti.
Valitse Määritä nämä käytäntöasetukset -valintaruutu, valitse käytettävät käytäntöasetukset ja ota uudet asetukset sitten käyttöön valitsemalla OK.
Toimialueen kumoamisasetusten määrittäminen
Näiden toimien tekeminen edellyttää vähintään Toimialueen valvojat -ryhmän jäsenyyttä.
| Toimialueen kumoamisasetusten määrittäminen |
Napsauta Käynnistä-painiketta, valitse Valvontatyökalut ja valitse sitten Palvelimen hallinta.
Valitse Ominaisuuksien yhteenveto -kohdassa Lisää ominaisuuksia. Valitse Ryhmäkäytäntöjen hallinta -valintaruutu, napsauta Seuraava-painiketta ja valitse Asenna.
Kun Asennuksen tulokset -sivulla näkyy, että ryhmäkäytäntöjen hallintakonsolin asennus (GPMC) on onnistunut, valitse Sulje.
Napsauta Käynnistä-painiketta, osoita Valvontatyökalut-kohtaa ja valitse Ryhmäkäytäntöjen hallinta.
Kaksoisnapsauta konsolipuussa Ryhmäkäytäntöobjektit-kohtaa muokattavan Toimialueen oletuskäytäntö -ryhmäkäytäntöobjektin sisältävässä puuryhmässä ja toimialueessa.
Napsauta hiiren kakkospainikkeella Toimialueen oletuskäytäntö -ryhmäkäytäntöobjektia ja valitse Muokkaa.
Valitse konsolipuun Tietokoneasetukset\Windows-asetukset\Suojausasetukset -kohdassa Julkisten avainten käytännöt.
Kaksoisnapsauta Varmennepolun vahvistusasetukset -kohtaa ja valitse sitten Kumoaminen-välilehti.
Valitse Määritä nämä käytäntöasetukset -valintaruutu, valitse käytettävät käytäntöasetukset ja ota uudet asetukset sitten käyttöön valitsemalla OK.
Varmenteiden kumousluetteloiden ja OCSP-vastaajien voimassaoloajan jatkaminen paikallisessa tietokoneessa
Näiden toimien tekeminen edellyttää vähintään Järjestelmänvalvojat-ryhmän jäsenyyttä.
| Varmenteiden kumousluetteloiden ja OCSP-vastausten voimassaoloajan jatkaminen paikallisessa tietokoneessa |
Napsauta Käynnistä-painiketta, kirjoita Hae ohjelmista ja tiedostoista -ruutuun gpedit.msc ja paina sitten ENTER-näppäintä.
Valitse konsolipuun Paikallinen tietokonekäytäntö\Tietokoneasetukset\Windows-asetukset\Suojausasetukset -kohdassa Julkisten avainten käytännöt.
Kaksoisnapsauta Varmennepolun vahvistusasetukset -kohtaa ja valitse sitten Kumoaminen-välilehti.
Valitse Määritä nämä käytäntöasetukset -valintaruutu ja valitse sitten Salli CRL- ja OCSP-vastauksien elinaikaa pitempi voimassaolo -valintaruutu.
Kirjoita Voimassaoloajan mahdollinen jatkoaika (tunteina) -ruutuun aika-arvo tunteina. Ota uudet asetukset sitten käyttöön valitsemalla OK.
Varmenteiden kumousluetteloiden ja OCSP-vastaajien voimassaoloajan jatkaminen toimialueessa
Näiden toimien tekeminen edellyttää vähintään Toimialueen valvojat -ryhmän jäsenyyttä.
| Varmenteiden kumousluetteloiden ja OCSP-vastausten voimassaoloajan jatkaminen toimialueessa |
Napsauta Käynnistä-painiketta, valitse Valvontatyökalut ja valitse sitten Palvelimen hallinta.
Valitse Ominaisuuksien yhteenveto -kohdassa Lisää ominaisuuksia. Valitse Ryhmäkäytäntöjen hallinta -valintaruutu, valitse Seuraava ja valitse sitten Asenna.
Kun Asennuksen tulokset -sivulla näkyy, että ryhmäkäytäntöjen hallintakonsolin asennus on onnistunut, valitse Sulje.
Napsauta Käynnistä-painiketta, valitse Valvontatyökalut ja valitse sitten Ryhmäkäytäntöjen hallinta.
Kaksoisnapsauta konsolipuussa Ryhmäkäytäntöobjektit-kohtaa muokattavan Toimialueen oletuskäytännön ryhmäkäytäntöobjektin sisältävässä puuryhmässä ja toimialueessa.
Napsauta hiiren kakkospainikkeella Toimialueen oletuskäytäntö -ryhmäkäytäntöobjektia ja valitse sitten Muokkaa.
Valitse konsolipuun Tietokoneasetukset\Windows-asetukset\Suojausasetukset -kohdassa Julkisten avainten käytännöt.
Kaksoisnapsauta Varmennepolun vahvistusasetukset -kohtaa ja valitse sitten Kumoaminen-välilehti.
Valitse Määritä nämä käytäntöasetukset -valintaruutu ja valitse sitten Salli CRL- ja OCSP-vastauksien elinaikaa pitempi voimassaolo -valintaruutu.
Valitse Salli CRL- ja OCSP-vastauksien elinaikaa pitempi voimassaolo -valintaruutu ja kirjoita haluamasi aika-arvo (tunteina). Ota asetukset lopuksi käyttöön napsauttamalla OK-painiketta.
Muita aiheita