系統管理員使用 [OCSP] 索引標籤來新增線上憑證狀態通訊協定 (OCSP) 回應程式 URL,以簽發憑證授權單位 (CA) 憑證,群組原則會散佈此憑證到 Active Directory 網域成員。這可以讓組織新增 OCSP 回應程式至現有的公開金鑰基礎結構 (PKI),而不需要重新簽發 CA 憑證或任何事先由 CA 簽發的憑證。以這個方式提供的 OCSP 回應程式 URL 可用來確認由 CA 簽發之憑證的憑證撤銷狀態。

若要完成此程序,至少需要 Enterprise Admins 群組成員資格。

新增 OCSP 回應程式 URL 到 CA 憑證

  1. 按一下 [開始],然後按一下 [執行]。輸入 gpmc.msc,然後按一下 [確定] 以開啟群組原則管理主控台 (GPMC)。

  2. 在主控台樹狀目錄中,展開包含您想要編輯原則的樹系及網域,然後按一下 [群組原則物件]

  3. 在您要編輯的原則上按一下滑鼠右鍵,然後按一下 [編輯]

  4. 在主控台樹狀目錄中,於 [電腦設定] 之下,依序展開 [原則][Windows 設定][安全性設定][公開金鑰原則][中繼憑證授權]

  5. 如果沒有顯示 CA 憑證,則從簽發的 CA 匯出 CA 憑證,然後將憑證匯入到 [中繼憑證授權]。請參閱匯出憑證

  6. 在 CA 憑證按一下滑鼠右鍵,按一下 [內容],然後按一下 [OCSP] 索引標籤。

  7. 輸入 OCSP 回應程式 URL,然後按一下 [新增 URL]

  8. 如果您想要阻止網域成員從 CRL 發佈點位置 (在發出憑證中指定) 下載 CRL,請選取 [停用憑證撤銷清單 (CRL)] 核取方塊。

    注意

    不建議停用 CRL。當同時提供 OCSP 和 CRL 的 URL 時,OCSP 優先於 CRL。不過,當下載及快取單一 CRL 比下載及快取多個 OCSP 要求更快速時,以撤銷檢查流程的結果為主。

  9. 按一下 [確定] 以儲存變更。
附註

在群組原則中的變更由網域成員定期套用,將根據群組原則重新整理間隔、電腦啟動期間及使用者登入期間來進行。重新顯示的間隔預設值是 90 分鐘。若要立刻對網域成員重新整理群組原則,請執行 Gpupdate 命令。

其他參考資料

目錄