För att fungera korrekt måste en onlinesvarare ha ett giltigt certifikat för svarssignering för OCSP. Detta OCSP-certifikat för svarssignering behövs även om du använder en OCSP-svarare som inte kommer från Microsoft.

Konfiguration av en certifikatutfärdare med stöd för OCSP-svarare inkluderar följande steg:

  1. Konfigurera certifikatmallar och utfärdningsegenskaper för OCSP-certifikat för svarssignering.

  2. Konfigurera registreringsbehörigheter för alla datorer som kommer att vara värd för onlinesvarare.

  3. Om det är en Windows Server 2003-baserad certifikatutfärdare aktiverar du OCSP-tillägget i utfärdade certifikat.

  4. Lägg till platsen för onlinesvarare eller OCSP-svarare till tillägget för auktoritetsinformationsåtkomst på certifikatutfärdaren.

  5. Aktivera mallen för OCSP-certifikat för svarssignering för certifikatutfärdaren.

Den certifikatmall som används för att utfärda ett OCSP-certifikat för svarssignering måste innehålla OCSP-tillägg för inaktiverad återkallningskontroll och användningsprincipen för OCSP-signering. Behörigheter måste även konfigureras för att tillåta att den dator som kommer att vara värddator för onlinesvararen registreras för detta certifikat.

Följande procedur gäller en certifikatutfärdare som är installerad på en dator som kör Windows Server 2008 R2 eller Windows Server 2008.

Minimikravet för att kunna slutföra proceduren är att du är medlem i någon av grupperna Domänadministratörer, Företagsadministratörer eller motsvarande. Mer information om hur du administrerar en PKI (Public Key Infrastructure) finns i Implementera rollbaserad administration.

Konfigurera certifikatmallen för ett OCSP-certifikat för svarssignering som utfärdats av en certifikatutfärdare i Windows Server 2008 R2 eller Windows Server 2008

  1. Öppna snapin-modulen Certifikatmallar.

    OBS

    Om du utför denna procedur på en dator som inte har någon certifikatutfärdare eller onlinesvarare installerad kan du behöva installera AD CS fjärradministrationsverktyg för server för att kunna använda snapin-modulen Certifikatmallar. Mer information om fjärradministrationsverktyg för server ges i Administrera en onlinesvarare från en annan dator.

  2. Högerklicka på mallen Svarssignering för OCSP och klicka sedan på Egenskaper.

  3. Klicka på fliken Säkerhet. Under Grupp- eller användarnamn klickar du på Lägg till.

  4. Klicka på Objekttyper, markera kryssrutan Datorer och klicka sedan på OK.

  5. Skriv in namnet eller bläddra för att välja den dator som är värd för onlinesvararen eller OCSP-svararen och klicka på OK.

  6. I dialogrutan Grupp- eller användarnamn klickar du på datornamnet och i dialogrutan Behörigheter markerar du kryssrutorna Läsa och Registrera. Klicka därefter på OK.

Följande procedur gäller en certifikatutfärdare som är installerad på en dator som kör Windows Server 2003. Proceduren måste utföras på en dator som kör Windows Server 2008 R2 eller Windows Server 2008.

Minimikravet för att kunna slutföra proceduren är att du är medlem i någon av grupperna Domänadministratörer, Företagsadministratörer eller motsvarande. Mer information om hur du administrerar en PKI finns i Implementera rollbaserad administration.

Så här konfigurerar du certifikatmallen för ett OCSP-certifikat för svarssignering som utfärdats av en Windows Server 2003-baserad certifikatutfärdare

  1. Öppna snapin-modulen Certifikatmallar.

  2. Högerklicka på mallen Svarssignering för OCSP och klicka sedan på Duplicera. Klicka på Windows 2003 Server, Enterprise Edition och klicka sedan på OK.

  3. Klicka på fliken Säkerhet. Under Grupp- eller användarnamn klickar du på Lägg till och skriv sedan in namnet eller bläddra för att välja den dator som är värd för onlinesvararen eller OCSP-svararen.

  4. Klicka på Objekttyper, markera kryssrutan Datorer och klicka sedan på OK.

  5. Skriv in namnet eller bläddra för att välja den dator som är värd för onlinesvararen eller OCSP-svararen och klicka på OK.

  6. I dialogrutan Grupp- eller användarnamn klickar du på datornamnet och i dialogrutan Behörigheter markerar du kryssrutorna Läsa och Registrera.

OBS

Standardmallen för OCSP-certifikat för svarssignering innehåller ett OCSP-tillägg för inaktiverad återkallningskontroll. Ta inte bort detta tillägg eftersom det används av många klienter för att kontrollera att svar som signerats med signeringscertifikatet är giltiga.

Om certifikatutfärdaren är installerad på en dator som kör Windows Server 2003 måste du avsluta följande procedur för att kunna konfigurera principmodulen på certifikatutfärdaren för att utfärda certifikat som inkluderar detta tillägg.

Du måste vara lokal administratör för att göra detta. Mer information om hur du administrerar en PKI finns i Implementera rollbaserad administration.

Så här förbereder du en dator som kör Windows Server 2003 för utfärdande av OCSP-certifikat för svarssignering

  1. På den server som är värd för certifikatutfärdaren öppnar du kommandotolken och skriver:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5

  2. Stoppa och starta om certifikatutfärdaren. Du kan göra det vid kommandotolken genom att köra följande kommandon:

    net stop certsvc
net start certsvc

För att konfigurera din certifikatutfärdare för OCSP måste du använda snapin-modulen Certifikatutfärdare för att utföra följande konfigurationssteg:

  • Lägg till platsen för onlinesvarare eller OCSP-svarare till tillägget för auktoritetsinformationsåtkomst.

  • Aktivera certifikatmallen för certifikatutfärdaren.

Du måste vara certifikatutfärdaradministratör för att göra detta. Mer information om hur du administrerar en PKI finns i Implementera rollbaserad administration.

Så här konfigurerar du en certifikatutfärdare med stöd för onlinesvarare eller OCSP-svarare

  1. Öppna snapin-modulen Certifikatutfärdare.

  2. Klicka på certifikatutfärdaren i konsolträdet.

  3. Klicka på EgenskaperÅtgärd-menyn.

  4. Klicka på fliken Tillägg.

  5. I listan Välj tillägg klickar du på Åtkomst till information om utfärdare (AIA) och klickar sedan på Lägg till.

  6. Ange de platser från vilka användare kan hämta certifikatåterkallningsdata, som till exempel http://computername/ocsp.

  7. Markera kryssrutan Inkludera tillägg för protokollet OCSP (Online Certificate Status Protocol).

  8. I konsolträdet för snapin-modulen Certifikatutfärdare högerklickar du på Certifikatmallar och klickar sedan på Nya Certifikatmallar att utfärda.

  9. I Aktivera certifikatmallar väljer du mallen Svarssignering för OCSP och eventuella andra certifikatmallar som du konfigurerat tidigare och klickar sedan på OK.

  10. Dubbelklicka på Certifikatmallar och kontrollera att de ändrade certifikatmallarna visas i listan.

Ytterligare referenser

Innehåll