Odvolání certifikátu zruší platnost certifikátu jako důvěryhodného bezpečnostního pověření ještě před naplánovaným vypršením jeho doby platnosti. Infrastruktura veřejných klíčů (PKI) je založena na distribuovaném ověřování pověření bez nutnosti přímé komunikace s centrální důvěryhodnou entitou, která za pověření ručí.
Pokud má klientský počítač efektivně podporovat odvolání certifikátů, musí být schopen určit, zda je certifikát platný nebo zda byl odvolán. Služba AD CS (Active Directory Certificate Services) podporuje standardní metody odvolání certifikátů a tím zajišťuje podporu pro mnoho možných situací. K podporovaným metodám odvolání certifikátů patří publikování seznamů odvolaných certifikátů a rozdílových seznamů odvolaných certifikátů na různých místech, kde k nim mají přístup klienti, například ve službě AD DS (Active Directory Domain Services), na webových serverech a v síťových sdílených složkách souborů. V systému Windows je možné data odvolání zpřístupnit v řadě nastavení prostřednictvím odpovědí protokolu OCSP (Online Certificate Status Protocol).
Poznámka | |
Seznamy odvolaných certifikátů jsou pravidelně publikovány v zadaných síťových umístěních, odkud si je mohou klientské počítače stáhnout. Odpovědi protokolu OCSP jsou digitálně podepsané odpovědi, které označují, zda byly jednotlivé certifikáty odvolány nebo pozastaveny, nebo zda není jejich stav neznámý. Odpovídající partner protokolu OCSP získává data z publikovaných seznamů odvolaných certifikátů nebo mohou být data aktualizována přímo z databáze stavu certifikátů certifikační autority. |
Kromě toho skupinové zásady veřejných klíčů umožňují správcům rozšířit použití seznamu odvolaných certifikátů a respondérů protokolu OCSP zejména v situacích, kdy extrémně velké seznamy odvolaných certifikátů nebo síťové podmínky snižují výkon.
V tomto tématu jsou popsány postupy pro následující úlohy:
Konfigurace nastavení odvolání v místním počítači
Pro provedení tohoto postupu je požadováno alespoň členství ve skupině Administrators.
Konfigurace nastavení odvolání v místním počítači |
Klikněte na tlačítko Start, do pole Prohledat programy a soubory zadejte gpedit.msc a stiskněte klávesu ENTER.
Ve stromu konzoly klikněte v části Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení na možnost Zásady veřejných klíčů.
Dvakrát klikněte na možnost Nastavení ověření cesty certifikátu a klikněte na kartu Odvolání.
Zaškrtněte políčko Definovat toto nastavení zásad, vyberte požadované možnosti zásad a kliknutím na tlačítko OK použijte nové nastavení.
Konfigurace nastavení odvolání pro doménu
K provedení tohoto postupu je požadováno minimálně členství ve skupině Domain Admins.
Konfigurace nastavení odvolání pro doménu |
Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klikněte na položku Správce serveru.
V části Souhrn funkcí klikněte na možnost Přidat funkce. Zaškrtněte políčko Správa zásad skupiny, klikněte na tlačítko Další a potom klikněte na tlačítko Instalovat.
Po zobrazení stránky s výsledky instalace s informacemi o tom, že instalace konzoly pro správu zásad skupiny proběhla úspěšně, klikněte na tlačítko Zavřít.
Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klikněte na položku Správa zásad skupiny.
Ve stromu konzoly dvakrát klikněte na seznam Objekty zásad skupiny v doménové struktuře a doméně obsahující objekt zásad skupiny Výchozí zásady domény, který chcete upravit.
Pravým tlačítkem myši klikněte na objekt zásad skupiny Výchozí zásady domény a poté klikněte na příkaz Upravit.
Ve stromu konzoly klikněte v části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení na možnost Zásady veřejných klíčů.
Dvakrát klikněte na možnost Nastavení ověření cesty certifikátu a klikněte na kartu Odvolání.
Zaškrtněte políčko Definovat toto nastavení zásad, vyberte požadované možnosti zásad a kliknutím na tlačítko OK použijte nové nastavení.
Prodloužení doby platnosti seznamů odvolaných certifikátů a odpovědí protokolu OCSP pro místní počítač
K provedení tohoto postupu je požadováno minimálně členství ve skupině Administrators.
Prodloužení doby platnosti seznamů odvolaných certifikátů a odpovědí protokolu OCSP pro místní počítač |
Klikněte na tlačítko Start, do pole Prohledat programy a soubory zadejte gpedit.msc a stiskněte klávesu ENTER.
Ve stromu konzoly klikněte v části Zásady místního počítače\Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení na možnost Zásady veřejných klíčů.
Dvakrát klikněte na možnost Nastavení ověření cesty certifikátu a klikněte na kartu Odvolání.
Zaškrtněte políčko Definovat toto nastavení zásad a políčko Povolit delší platnost všech seznamů CRL a odpovědí protokolu OCSP, než je jejich životnost.
V poli Výchozí dobu platnosti lze prodloužit zadejte hodnotu pro dobu (v hodinách) a kliknutím na tlačítko OK použijte nové nastavení.
Prodloužení doby platnosti seznamů odvolaných certifikátů a odpovědí protokolu OCSP pro doménu
K provedení tohoto postupu je požadováno minimálně členství ve skupině Domain Admins.
Prodloužení doby platnosti seznamů odvolaných certifikátů a odpovědí protokolu OCSP pro doménu |
Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a klikněte na položku Správce serveru.
V části Souhrn funkcí klikněte na možnost Přidat funkce. Zaškrtněte políčko Správa zásad skupiny, klikněte na tlačítko Další a potom klikněte na tlačítko Instalovat.
Po zobrazení stránky Výsledky instalace s informacemi o tom, že instalace konzoly pro správu zásad skupiny proběhla úspěšně, klikněte na tlačítko Zavřít.
Klikněte na tlačítko Start, přejděte na příkaz Nástroje pro správu a potom klikněte na položku Správa zásad skupiny.
Ve stromu konzoly dvakrát klikněte na seznam Objekty zásad skupiny v doménové struktuře a doméně obsahující objekt zásad skupiny Výchozí zásady domény, který chcete upravit.
Pravým tlačítkem myši klikněte na objekt zásad skupiny Výchozí zásady domény a poté klikněte na příkaz Upravit.
Ve stromu konzoly klikněte v části Konfigurace počítače\Nastavení systému Windows\Nastavení zabezpečení na možnost Zásady veřejných klíčů.
Dvakrát klikněte na možnost Nastavení ověření cesty certifikátu a klikněte na kartu Odvolání.
Zaškrtněte políčko Definovat toto nastavení zásad a políčko Povolit delší platnost všech seznamů CRL a odpovědí protokolu OCSP, než je jejich životnost.
V poli Výchozí dobu platnosti lze prodloužit zadejte hodnotu pro dobu (v hodinách) a kliknutím na tlačítko OK použijte nové nastavení.
Další informace