A tanúsítvány visszavonása érvényességi időtartamának lejárta előtt érvényteleníti a tanúsítványt, mint megbízható biztonsági azonosító adatot. A nyilvános kulcsok infrastruktúrája (PKI) az azonosító adatok olyan elosztott ellenőrzésén alapul, ahol nincs szükség az azonosító adatokat tanúsító központi megbízható entitással folytatott közvetlen kommunikációra.

A tanúsítványok visszavonásának hatékony támogatásához az ügyfélszámítógépnek meg kell állapítania, hogy a tanúsítvány érvényes-e, vagy vissza lett vonva. Hogy számos különféle helyzetnek meg tudjanak felelni, az Active Directory tanúsítványszolgáltatások támogatják a tanúsítványok visszavonásának szabványos módszereit. Ezek közé tartozik a visszavont tanúsítványok listájának (CRL-ek) és a különbözeti visszavonási listáknak a közzététele több helyen (például az Active Directory tartományi szolgáltatásokban, webkiszolgálókon és fájlmegosztásokon), hogy az ügyfelek elérhessék azokat. A Windows rendszerben a visszavonási adatok (többféle beállítási lehetőséggel) szintén elérhetővé tehetők az online tanúsítványállapot-protokoll (OCSP) válaszain keresztül.

Megjegyzés

A visszavonási listák periodikus módon, meghatározott hálózati helyeken vannak közzétéve, ahonnan az ügyfélszámítógépek letölthetik azokat. Az online tanúsítványállapot-protokoll válaszok digitálisan aláírt válaszok, amelyek jelzik, ha egy tanúsítvány vissza van vonva, fel van függesztve, vagy ha állapota ismeretlen. Az OCSP-válaszadók adataikat a közzétett visszavonási listákból szerzik, illetve frissíthetők közvetlenül egy hitelesítésszolgáltató (CA) tanúsítványállapot-adatbázisából.

Továbbá, a nyilvános kulcsokra vonatkozó csoportházirend lehetővé teszi a rendszergazda számára a visszavonási listák és OCSP-válaszadók alkalmazásának bővítését, elsősorban azokban az esetekben, amikor a visszavonási listák különösen nagyok vagy a hálózati feltételek csökkentik a teljesítményt.

Ez a témakör a következő feladatok eljárásait tartalmazza:

Visszavonási beállítások konfigurálása helyi számítógépen

Legalább a Rendszergazdák csoport tagjának kell lennie ezen eljárás elvégzéséhez.

Visszavonási beállítások konfigurálása helyi számítógépen

  1. Kattintson a Start gombra, írja be a gpedit.msc parancsot a Keresés programokban és fájlokban mezőbe, majd nyomja le az ENTER billentyűt.

  2. A konzolfa Helyi számítógép-házirend\Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások csomópontja alatt kattintson a Nyilvános kulcs irányelvei elemre.

  3. Ezután kattintson duplán A tanúsítvány elérési útjának érvényesítési beállításai elemre, majd kattintson a Visszavonás fülre.

  4. Jelölje be A következő házirend-beállítások megadása jelölőnégyzetet, válassza ki az alkalmazni kívánt házirend-beállításokat, majd az új beállítások alkalmazásához kattintson az OK gombra.

Visszavonási beállítások konfigurálása tartomány számára

Az eljárás végrehajtásához szükséges minimális csoporttagság: Tartományi rendszergazdák.

Visszavonási beállítások konfigurálása tartomány számára

  1. Kattintson a Start gombra, mutasson a Felügyeleti eszközök menüpontra, majd kattintson a Kiszolgálókezelő elemre.

  2. A Szolgáltatások összegzése területen kattintson a Szolgáltatás hozzáadása gombra. Jelölje be a Csoportházirend kezelése jelölőnégyzetet, és kattintson a Tovább, majd a Telepítés gombra.

  3. Ha a Telepítés eredménye oldalon megjelenik, hogy a Csoportházirend kezelése konzol (GPMC) telepítése sikerült, kattintson a Bezárás gombra.

  4. Kattintson a Start gombra, mutasson a Felügyeleti eszközök menüpontra, majd kattintson a Csoportházirend kezelése elemre.

  5. A konzolfán kattintson duplán a Csoportházirend-objektumok elemre a szerkeszteni kívánt Alapértelmezett tartományházirend csoportházirend-objektumot tartalmazó erdőben és tartományban.

  6. Kattintson az egér jobb oldali gombjával az Alapértelmezett tartományházirend csoportházirend-objektumra, majd a Szerkesztés parancsra.

  7. A konzolfa Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások csomópontja alatt kattintson a Nyilvános kulcs irányelvei elemre.

  8. Ezután kattintson duplán A tanúsítvány elérési útjának érvényesítési beállításai elemre, majd kattintson a Visszavonás fülre.

  9. Jelölje be A következő házirend-beállítások megadása jelölőnégyzetet, válassza ki az alkalmazni kívánt házirend-beállításokat, majd az új beállítások alkalmazásához kattintson az OK gombra.

A visszavonási listák és az OCSP-válaszok érvényességi időtartamának kiterjesztése a helyi számítógépen

Legalább Rendszergazdák csoporttagság szükséges ezen eljárás elvégzéséhez.

A visszavonási listák és az OCSP-válaszok érvényességi időtartamának kiterjesztése a helyi számítógépen

  1. Kattintson a Start gombra, írja be a gpedit.msc parancsot a Keresés programokban és fájlokban mezőbe, majd nyomja le az ENTER billentyűt.

  2. A konzolfa Helyi számítógép-házirend\Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások csomópontja alatt kattintson a Nyilvános kulcs irányelvei elemre.

  3. Ezután kattintson duplán A tanúsítvány elérési útjának érvényesítési beállításai elemre, majd kattintson a Visszavonás fülre.

  4. Jelölje be A következő házirend-beállítások megadása és A visszavonási listák és az OCSP-protokollal kapott válaszok élettartamon túli érvényességének engedélyezése jelölőnégyzetet.

  5. Jelölje ki az Érvényességi időszak alapértelmezett kiterjeszthetősége elemet, adja meg a az értéket (órában), majd az új beállítások alkalmazásához kattintson az OK gombra.

A visszavonási listák és az OCSP-válaszok érvényességi időtartamának kiterjesztése tartományban

Az eljárás végrehajtásához szükséges minimális csoporttagság: Tartományi rendszergazdák.

A visszavonási listák és az OCSP-válaszok érvényességi időtartamának kiterjesztése tartományban

  1. Kattintson a Start gombra, mutasson a Felügyeleti eszközök menüpontra, majd kattintson a Kiszolgálókezelő elemre.

  2. A Szolgáltatások összegzése területen kattintson a Szolgáltatás hozzáadása gombra. Jelölje be a Csoportházirend kezelése jelölőnégyzetet, és kattintson a Tovább, majd a Telepítés gombra.

  3. Amikor a Telepítés eredménye oldalon megjelenik, hogy a Csoportházirend kezelése konzol (GPMC) telepítése sikerült, kattintson a Bezárás gombra.

  4. Kattintson a Start gombra, mutasson a Felügyeleti eszközök menüpontra, majd kattintson a Csoportházirend kezelése elemre.

  5. A konzolfán kattintson duplán a Csoportházirend-objektumok elemre a szerkeszteni kívánt Alapértelmezett tartományházirend csoportházirend-objektumot tartalmazó erdőben és tartományban.

  6. Kattintson a jobb gombbal az Alapértelmezett tartományházirend csoportházirend-objektumra, majd a Szerkesztés parancsra.

  7. A konzolfa Számítógép konfigurációja\A Windows beállításai\Biztonsági beállítások csomópontja alatt kattintson a Nyilvános kulcs irányelvei elemre.

  8. Ezután kattintson duplán A tanúsítvány elérési útjának érvényesítési beállításai elemre, majd kattintson a Visszavonás fülre.

  9. Jelölje be A következő házirend-beállítások megadása és A visszavonási listák és az OCSP-protokollal kapott válaszok élettartamon túli érvényességének engedélyezése jelölőnégyzetet.

  10. Jelölje ki az Érvényességi időszak alapértelmezett kiterjeszthetősége elemet, adja meg a az értéket (órában), majd az új beállítások alkalmazásához kattintson az OK gombra.

További hivatkozások

Tartalom