Ke správnému fungování musí mít online respondér platný certifikát Podepisování odpovědí protokolu OCSP (Online Certificate Status Protocol). Tento certifikát Podepisování odpovědí protokolu OCSP je nutný také v případě, že používáte respondér OCSP jiné společnosti než Microsoft.
Konfigurace podpory služeb respondéru OCSP v certifikační autoritě zahrnuje následující kroky:
-
Nakonfigurujte šablony certifikátů a vlastnosti vystavování pro certifikáty Podepisování odpovědí protokolu OCSP.
-
Nakonfigurujte oprávnění k zápisu pro počítače, které budou hostiteli online respondérů.
-
Pokud se jedná o certifikační autoritu založenou na systému Windows Server 2003, povolte rozšíření protokolu OCSP ve vystavených certifikátech.
-
Přidejte umístění online respondéru nebo respondéru OCSP do rozšíření Přístup k informacím autority v certifikační autoritě.
-
Povolte šablonu certifikátu Podepisování odpovědí protokolu OCSP pro certifikační autoritu.
Šablona certifikátu sloužící k vystavení certifikátu Podepisování odpovědí protokolu OCSP musí obsahovat rozšíření s názvem Bez kontroly odvolání protokolu OCSP a zásadu použití Podepisování protokolu OCSP. Je nutné nakonfigurovat také oprávnění, která hostitelskému počítači online respondéru povolí zápis tohoto certifikátu.
Následující postup je určen pro certifikační autoritu, která je nainstalována do počítače se spuštěným systémem Windows Server 2008 R2 nebo Windows Server 2008.
K provedení tohoto postupu jsou nutná minimálně oprávnění skupiny Domain Admins nebo Enterprise Admins nebo ekvivalentní oprávnění. Další informace týkající se správy infrastruktury veřejných klíčů najdete v tématu Implementace správy založené na rolích.
Konfigurace šablony certifikátu pro certifikát Podepisování odpovědí protokolu OCSP vystavený certifikační autoritou založenou na systému Windows Server 2008 R2 nebo Windows Server 2008 |
Spusťte modul snap-in Šablony certifikátů.
Poznámka Jestliže tento postup provádíte v počítači, v němž není nainstalována certifikační autorita ani online respondér, je možné, že bude třeba nainstalovat nástroje pro vzdálenou správu serveru služby AD CS (Active Directory Certificate Services), abyste mohli modul snap-in Šablony certifikátů používat. Další informace týkající se nástrojů pro vzdálenou správu serveru naleznete v tématu Správa online respondéru z jiného počítače.
Pravým tlačítkem myši klikněte na šablonu Podepisování odpovědí protokolu OCSP a pak klikněte na příkaz Vlastnosti.
Klikněte na kartu Zabezpečení. U možnosti Uživatelské jméno nebo název skupiny klikněte na tlačítko Přidat.
Klikněte na možnost Typy objektů, zaškrtněte políčko Počítače a potom klikněte na tlačítko OK.
Zadejte název nebo procházením vyberte počítač, který je hostitelem online respondéru nebo služeb respondéru OCSP, a klikněte na tlačítko OK.
V dialogovém okně Název skupiny nebo uživatelské jméno klikněte na název počítače a v dialogovém okně Oprávnění zaškrtněte políčka Číst a Zapsat. Pak klikněte na tlačítko OK.
Následující postup je určen pro certifikační autoritu, která je nainstalována do počítače se spuštěným systémem Windows Server 2003. Tento postup je nutné provést v počítači se spuštěným systémem Windows Server 2008 R2 nebo Windows Server 2008.
K provedení tohoto postupu jsou nutná minimálně oprávnění skupiny Domain Admins nebo Enterprise Admins nebo ekvivalentní oprávnění. Další informace týkající se správy infrastruktury veřejných klíčů najdete v tématu Implementace správy založené na rolích.
Konfigurace šablony certifikátu pro certifikát Podepisování odpovědí protokolu OCSP vystavený certifikační autoritou založenou na systému Windows Server 2003 |
Spusťte modul snap-in Šablony certifikátů.
Pravým tlačítkem myši klikněte na šablonu Podepisování odpovědí protokolu OCSP a pak klikněte na příkaz Duplikovat. Klikněte na přepínač Windows 2003 Server, Enterprise Edition a potom klikněte na tlačítko OK.
Klikněte na kartu Zabezpečení. U možnosti Uživatelské jméno nebo název skupiny klikněte na tlačítko Přidat a potom zadejte název nebo procházením vyberte počítač, který je hostitelem online respondéru nebo služeb respondéru OCSP.
Klikněte na položku Typy objektů, zaškrtněte políčko Počítače a potom klikněte na tlačítko OK.
Zadejte název nebo procházením vyberte počítač, který je hostitelem online respondéru nebo služeb respondéru OCSP, a klikněte na tlačítko OK.
V dialogovém okně Název skupiny nebo uživatelské jméno klikněte na název počítače a v dialogovém okně Oprávnění zaškrtněte políčka Číst a Zapsat.
Poznámka | |
Výchozí šablona certifikátu Podepisování odpovědí protokolu OCSP obsahuje rozšíření s názvem Bez kontroly odvolání protokolu OCSP. Toto rozšíření neodebírejte, protože jej řada klientů používá k ověření, zda jsou odpovědi podepsané podpisovým certifikátem platné. |
Pokud je certifikační autorita nainstalována do počítače se spuštěným systémem Windows Server 2003, je nutné provedením následujícího postupu konfigurovat modul zásad v certifikační autoritě tak, aby byly vystavovány certifikáty zahrnující toto rozšíření.
K dokončení tohoto postupu musíte mít oprávnění místního správce. Další informace týkající se správy infrastruktury veřejných klíčů najdete v tématu Implementace správy založené na rolích.
Příprava počítače se spuštěným systémem Windows Server 2003 na vystavování certifikátů Podepisování odpovědí protokolu OCSP |
Na hostitelském serveru certifikační autority spusťte příkazový řádek a zadejte příkaz:
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
Zastavte a restartujte certifikační autoritu. Můžete to provést spuštěním následujících příkazů na příkazovém řádku:
net stop certsvc net start certsvc
Chcete-li v certifikační autoritě konfigurovat protokol OCSP, je nutné v modulu snap-in Certifikační autorita dokončit následující kroky konfigurace certifikační autority:
-
Přidejte umístění online respondéru nebo respondéru OCSP do rozšíření Přístup k informacím autority.
-
Povolte šablonu certifikátu pro certifikační autoritu.
K provedení tohoto postupu musíte mít oprávnění správce certifikační autority. Další informace týkající se správy infrastruktury veřejných klíčů najdete v tématu Implementace správy založené na rolích.
Konfigurace podpory online respondéru nebo služeb respondéru OCSP v certifikační autoritě |
Spusťte modul snap-in Certifikační autorita.
Ve stromu konzoly klikněte na název certifikační autority.
V nabídce Akce klikněte na příkaz Vlastnosti.
Klikněte na kartu Rozšíření.
V seznamu Vyberte rozšíření klikněte na položku Přístup k informacím autority (AIA) a potom klikněte na tlačítko Přidat.
Zadejte umístění, z nichž mohou uživatelé získat data o odvolaných certifikátech, například http://název_počítače/ocsp.
Zaškrtněte políčko Zahrnout do rozšíření protokolu o stavu certifikátu online (OCSP).
Ve stromu konzoly modulu snap-in Certifikační autorita klikněte pravým tlačítkem myši na položku Šablony certifikátů a potom klikněte na příkaz Šablony nových vystavovaných certifikátů.
V dialogovém okně Povolit šablony certifikátů vyberte šablonu Podepisování odpovědí protokolu OCSP a případně další šablony certifikátů, které jste nakonfigurovali dříve, a potom klikněte na tlačítko OK.
Dvakrát klikněte na položku Šablony certifikátů a ověřte, zda jsou v seznamu zobrazeny upravené šablony certifikátů.