Per assicurare il funzionamento corretto di un risponditore online, è necessario che quest'ultimo disponga di un certificato Firma risposta OCSP (Online Certificate Status Protocol) valido. Il certificato Firma risposta OCSP è inoltre necessario se si utilizza un risponditore OCSP non Microsoft.

La configurazione di un'Autorità di certificazione (CA) per il supporto dei servizi Risponditore OCSP include i passaggi seguenti:

  1. Configurare i modelli di certificato e le proprietà di rilascio per i certificati Firma risposta OCSP.

  2. Configurare le autorizzazioni di registrazione per i computer che ospiteranno i risponditori online.

  3. In caso di CA basata su Windows Server 2003, attivare l'estensione OCSP nei certificati rilasciati.

  4. Aggiungere il percorso del risponditore online o del risponditore OCSP all'estensione Accesso alle informazioni dell'autorità nella CA.

  5. Attivare il modello di certificato Firma risposta OCSP per la CA.

Il modello di certificato utilizzato per rilasciare un certificato Firma risposta OCSP deve contenere un'estensione denominata "Nessun controllo di revoca OCSP" e i criteri di applicazione Firma OCSP. È inoltre necessario configurare le autorizzazioni per consentire al computer che ospiterà il risponditore online di effettuare la registrazione per il certificato.

La procedura seguente è relativa a una CA installata in un computer che esegue Windows Server 2008 R2 o Windows Server 2008.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins o Enterprise Admins oppure a un gruppo equivalente. Per ulteriori informazioni sull'amministrazione di un'infrastruttura a chiave pubblica (PKI), vedere Implementare l'amministrazione basata sui ruoli.

Per configurare il modello di certificato per un certificato Firma risposta OCSP emesso da una CA basata su Windows Server 2008 R2 o su Windows Server 2008
  1. Aprire lo snap-in Modelli di certificato.

    Nota

    Se si esegue questa procedura su un computer nel quale non sono installati il risponditore online o la CA, per poter utilizzare lo snap-in Modelli di certificato potrebbe essere necessario installare Strumenti di amministrazione remota del server per Servizi certificati Active Directory. Per ulteriori informazioni su Strumenti di amministrazione remota del server, vedere Amministrare un risponditore online da un altro computer.

  2. Fare clic con il pulsante destro del mouse sul modello Firma risposta OCSP e quindi scegliere Proprietà.

  3. Fare clic sulla scheda Sicurezza. In Nome utente o gruppo fare clic su Aggiungi.

  4. Fare clic su Tipi di oggetto, selezionare la casella di controllo Computer e quindi fare clic su OK.

  5. Selezionare o digitare il nome del computer che ospita i servizi Risponditore in linea o Risponditore OCSP e fare clic su OK.

  6. Nella finestra di dialogo Utenti e gruppi fare clic sul nome del computer e nella finestra di dialogo Autorizzazioni selezionare le caselle di controllo Lettura e Registrazione e quindi fare clic su OK.

La procedura seguente è relativa a una CA installata in un computer che esegue Windows Server 2003. La procedura deve essere completata in un computer che esegue Windows Server 2008 R2 o Windows Server 2008.

Per eseguire questa procedura, è necessaria almeno l'appartenenza al gruppo Domain Admins o Enterprise Admins oppure a un gruppo equivalente. Per ulteriori informazioni sull'amministrazione di un'infrastruttura a chiave pubblica (PKI), vedere Implementare l'amministrazione basata sui ruoli.

Per configurare il modello di certificato per un certificato Firma risposta OCSP rilasciato da una CA basata su Windows Server 2003
  1. Aprire lo snap-in Modelli di certificato.

  2. Fare clic con il pulsante destro del mouse sul modello Firma risposta OCSP e quindi scegliere Duplica. Fare clic su Windows 2003 Server, Enterprise Edition e quindi su OK.

  3. Fare clic sulla scheda Sicurezza. In Nome utente o gruppo fare clic su Aggiungi e quindi selezionare o digitare il nome del computer che ospita i servizi Risponditore in linea o Risponditore OCSP.

  4. Fare clic su Tipi di oggetto, selezionare la casella di controllo Computer e quindi fare clic su OK.

  5. Selezionare o digitare il nome del computer che ospita i servizi Risponditore in linea o Risponditore OCSP e fare clic su OK.

  6. Nella finestra di dialogo Utenti e gruppi fare clic sul nome del computer e nella finestra di dialogo Autorizzazioni selezionare le caselle di controllo Lettura e Registrazione.

Nota

Il modello di certificato Firma risposta OCSP predefinito contiene un'estensione denominata "Nessun controllo di revoca OCSP". Non rimuovere tale estensione, la quale viene utilizzata da molti client per verificare che le risposte firmate con il certificato di firma siano valide.

Se la CA è installata in un computer che esegue Windows Server 2003, è necessario completare la procedura seguente per configurare il modulo criteri nella CA per il rilascio di certificati che includano l'estensione.

Per poter completare questa procedura, è necessario essere un amministratore locale. Per ulteriori informazioni sull'amministrazione di un'infrastruttura a chiave pubblica (PKI), vedere Implementare l'amministrazione basata sui ruoli.

Per preparare un computer che esegue Windows Server 2003 al rilascio di certificati Firma risposta OCSP
  1. Nel server che ospita la CA aprire un prompt dei comandi e digitare:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
  2. Arrestare e riavviare la CA. A tale scopo, è possibile eseguire i comandi seguenti al prompt dei comandi:

    net stop certsvc
    net start certsvc

Per configurare la CA per OCSP, è necessario utilizzare lo snap-in Autorità di certificazione per completare le procedure seguenti di configurazione della CA:

  • Aggiungere il percorso del risponditore online o del risponditore OCSP all'estensione Accesso alle informazioni dell'autorità.

  • Attivare il modello di certificato per la CA.

Per poter completare questa procedura, è necessario essere un amministratore della CA. Per ulteriori informazioni sull'amministrazione di un'infrastruttura a chiave pubblica (PKI), vedere Implementare l'amministrazione basata sui ruoli.

Per configurare una CA affinché supporti i servizi Risponditore in linea e Risponditore OCSP
  1. Aprire lo snap-in Autorità di certificazione.

  2. Nell'albero della console fare clic sul nome della CA.

  3. Scegliere Proprietà dal menu Azione.

  4. Fare clic sulla scheda Estensioni.

  5. Nell'elenco Selezionare l'estensione fare clic su Accesso alle informazioni dell'autorità (AIA) e quindi su Aggiungi.

  6. Specificare i percorsi da cui gli utenti possono ottenere i dati relativi alle revoche dei certificati, ad esempio http://nomecomputer/ocsp.

  7. Selezionare la casella di controllo Includi nell'estensione del protocollo di stato del certificato online (OCSP).

  8. Nell'albero della console dello snap-in Autorità di certificazione fare clic con il pulsante destro del mouse su Modelli di certificato e quindi scegliere Nuovi modelli di certificato da rilasciare.

  9. In Attivazione modelli di certificato selezionare il modello Firma risposta OCSP ed eventuali altri modelli di certificato precedentemente configurati e quindi fare clic su OK.

  10. Fare doppio clic su Modelli di certificato e verificare che i modelli di certificato modificati siano presenti nell'elenco.


Argomenti della Guida