L’onglet Signature de la page Propriétés de répondeur en ligne affiche l’algorithme de hachage utilisé dans la vérification des opérations de signature des réponses de répondeur en ligne envoyées aux clients.
Les options de signature suivantes peuvent être configurées :
-
Ne pas demander d’informations d’identification pour des opérations de chiffrement. Si la clé de signature est fortement protégée par un mot de passe supplémentaire, sélectionner cette option signifie que le répondeur en ligne n’invitera pas l’utilisateur à entrer le mot de passe et échouera en silence.
Remarques Ne sélectionnez pas cette option si un module de sécurité matériel (HSM) est utilisé pour protéger les clés privées.
-
Utiliser automatiquement des certificats de signature renouvelés. Indique au répondeur en ligne d’utiliser automatiquement les certificats de signature renouvelés sans demander à l’administrateur du répondeur en ligne de les assigner manuellement.
-
Activer la prise en charge de l’extension NONCE. Indique au répondeur en ligne d’inspecter et de traiter une demande OCSP (Online Certificate Status Protocol) incluant une extension nonce. Si une extension nonce est incluse dans la demande OCSP et que cette option est sélectionnée, le répondeur en ligne ignore les réponses OCSP mises en cache et crée une nouvelle réponse incluant l’extension nonce fournie dans la demande. Si cette option est désactivée et qu’une demande incluant une extension nonce est reçue, le répondeur en ligne rejette la demande avec une erreur « non autorisée ».
Remarques Le client OCSP Microsoft ne prend pas en charge l’extension nonce.
-
Utilisez un certificat de signature OCSP valide quelconque. Par défaut, le répondeur en ligne n’utilise que des certificats de signature délivrés par l’autorité de certification ayant délivré le certificat en cours de validation. Cette option permet de modifier le comportement par défaut et indique au répondeur en ligne d’utiliser n’importe quel certificat existant valide incluant l’extension EKU de signature OCSP.
Remarques Les clients exécutant des versions de Windows antérieures à Windows Vista Service Pack 1 (SP1) ne prend pas en charge cette option et les demandes d’état de certificat provenant de ces clients échouent si elle est sélectionnée.
Les options d’identificateur de répondeur en ligne suivantes peuvent être utilisées pour indiquer d’inclure ou non le hachage de clé ou le sujet du certificat de signature dans la réponse :
-
Hachage de clé du certificat de signature. Certains fournisseurs de services de chiffrement (CSP) nécessitent le hachage de clé du certificat de signature afin d’accéder aux clés privées.
-
Sujet du certificat de signature. Certains fournisseurs de services de chiffrement (CSP) nécessitent le sujet du certificat de signature afin d’accéder aux clés privées.