Nella scheda Firma della pagina Proprietà risponditore online viene visualizzato l'algoritmo hash utilizzato per consentire la verifica delle operazioni di firma per le risposte del risponditore online ai client.
È possibile configurare le opzioni di firma seguenti:
-
Non richiedere le credenziali per le operazioni di crittografia. Se la chiave di firma è protetta da un'ulteriore password complessa e questa opzione è selezionata, il risponditore online non richiederà all'utente di immettere la password e l'operazione avrà esito negativo senza che vengano visualizzati avvisi.
Nota Non selezionare questa opzione se si utilizza un modulo di sicurezza hardware per proteggere le chiavi private.
-
Usa automaticamente certificati di firma rinnovati. Se si seleziona questa opzione, il risponditore online utilizzerà automaticamente certificati di firma rinnovati senza richiederne l'assegnazione manuale da parte dell'amministratore del risponditore online.
-
Abilita supporto estensione NONCE. Se si seleziona questa opzione, il risponditore online esaminerà ed elaborerà una richiesta del protocollo di stato del certificato online (OCSP) contenente un'estensione NONCE. Se nella richiesta OCSP è inclusa un'estensione NONCE e questa opzione è selezionata, il risponditore online ignorerà eventuali risposte OCSP nella cache e creerà una nuova risposta contenente l'estensione NONCE fornita nella richiesta. Se l'opzione è disattivata e viene ricevuta una richiesta che include un'estensione NONCE, il risponditore online rifiuterà la richiesta generando un errore di assenza di autorizzazione.
Nota Il client OCSP Microsoft non supporta l'estensione NONCE.
-
Usa qualsiasi certificato di firma OCSP valido. Per impostazione predefinita, il risponditore online utilizzerà esclusivamente certificati di firma emessi dalla stessa Autorità di certificazione (CA) che ha emesso il certificato da convalidare. Questa opzione consente di modificare il comportamento predefinito e fa in modo che il risponditore online utilizzi qualsiasi certificato valido esistente contenente l'estensione EKU di firma OCSP.
Nota I client che eseguono versioni di Windows precedenti a Windows Vista con Service Pack 1 (SP1) non supportano questa opzione e le richieste di stato dei certificati provenienti da questi client avranno esito negativo se viene selezionata questa opzione.
Le opzioni di identificazione seguenti del risponditore online consentono di scegliere se includere l'hash di chiave o il soggetto del certificato di firma nella risposta:
-
Hash chiave certificato di firma. Alcuni provider di servizi di crittografia (CSP) richiedono l'hash chiave del certificato di firma per l'accesso alle chiavi private.
-
Soggetto certificato di firma. Alcuni provider di servizi di crittografia richiedono il soggetto del certificato di firma per l'accesso alle chiavi private.