Beheerders gebruiken het tabblad OCSP om URL's van OCSP-responders (Online Certificate Status Protocol) toe te voegen aan certificaten van de uitgevende certificeringsinstanties (CA's). Deze certificaten worden door groepsbeleid onder Active Directory-domeinleden verspreid. Op deze manier kunnen organisaties OCSP-responders toevoegen aan een bestaande PKI (Public Key Infrastructure), zonder dat zij het CA-certificaat of andere certificaten die eerder zijn uitgegeven door de CA, opnieuw hoeven uit te geven. De URL's van OCSP-responders die zo worden aangeleverd, worden gebruikt voor het verifiëren van de intrekkingsstatus van certificaten die door de CA zijn uitgegeven.

Het minimaal vereiste groepslidmaatschap om deze procedure uit te voeren, is Ondernemingsadministrators.

Een URL van een OCSP-responder toevoegen aan een CA-certificaat
  1. Klik op Start en klik vervolgens op Uitvoeren. Typ gpmc.msc en klik vervolgens op OK om de console Groepsbeleidsbeheer (GPMC) te openen.

  2. Vouw in de consolestructuur het forest en het domein uit die het beleid bevatten dat u wilt bewerken, en klik op Groepsbeleidsobjecten .

  3. Klik met de rechtermuisknop op het beleid dat u wilt bewerken, en klik vervolgens op Bewerken.

  4. Vouw in de consolestructuur onder Computerconfiguratie de volgende opties uit: Beleid, Windows-instellingen, Beveiligingsinstellingen, Openbare-sleutelbeleid en Tussenliggende certificeringsinstanties .

  5. Als er geen CA-certificaten worden weergegeven, exporteert u het CA-certificaat vanuit de uitgevende CA en importeert u vervolgens het certificaat naar Tussenliggende certificeringsinstanties. Zie Certificaten exporteren.

  6. Klik met de rechtermuisknop op het CA-certificaat, klik op Eigenschappen en klik op het tabblad OCSP.

  7. Geef de URL van een OCSP-responder op en klik op URL toevoegen.

  8. Als u niet wilt dat domeinleden certificaatintrekkingslijsten (CRL's) kunnen downloaden van de locaties met CRL-distributiepunten, schakelt u het selectievakje Certificaatintrekkingslijst uitschakelen in.

    Waarschuwing

    Het uitschakelen van certificaatintrekkingslijsten wordt afgeraden. OCSP heeft voorrang op CRL's wanneer voor beide URL's worden aangeleverd. Door de controle van de intrekking wordt echter bepaald wanneer het downloaden en in de cache opslaan van een enkele CRL efficiënter is dan meerdere OCSP-aanvragen.

  9. Klik op OK om de wijzigingen op te slaan.

Opmerking

De wijzigingen in het groepsbeleid worden tijdens het opstarten van de computer en het aanmelden van gebruikers periodiek door groepsleden toegepast op basis van het vernieuwingsinterval van groepsbeleid. Het standaardvernieuwingsinterval is 90 minuten. Met de opdracht Gpupdate kunt u direct het groepsbeleid vernieuwen.

Aanvullende naslaginformatie


Inhoudsopgave