Mithilfe der Registerkarte OCSP fügen Administratoren Zertifikaten der ausstellenden Zertifizierungsstelle (Certification Authority, CA), die mit der Gruppenrichtlinie an Active Directory-Domänenmitglieder verteilt werden, OCSP-Antwortdienst-URLs (Online Certificate Status-Protokoll) hinzu. Auf diese Weise können Organisationen einer vorhandenen Public Key-Infrastruktur (PKI) OCSP-Antwortdienste hinzufügen, ohne das Zertifizierungsstellenzertifikat oder zuvor von der Zertifizierungsstelle ausgestellte Zertifikate erneut auszustellen. Mit auf dieser Weise bereitgestellten OCSP-Antwortdienst-URLs wird der Zertifikatsperrstatus von Zertifikaten, die von der Zertifizierungsstelle ausgestellt wurden, überprüft.

Sie müssen mindestens Mitglied der Gruppe Organisations-Admins sein, um dieses Verfahren ausführen zu können.

So fügen Sie einem Zertifizierungsstellenzertifikat eine OCSP-Antwortdienst-URL hinzu
  1. Klicken Sie auf Start, und klicken Sie anschließend auf Ausführen. Geben Sie gpmc.msc ein, und klicken Sie auf OK, um die Gruppenrichtlinien-Verwaltungskonsole (Group Policy Management Console, GPMC) zu öffnen.

  2. Erweitern Sie in der Konsolenstruktur die Gesamtstruktur und die Domäne, die die zu bearbeitende Richtlinie enthalten, und klicken Sie auf Gruppenrichtlinienobjekte.

  3. Klicken Sie mit der rechten Maustaste auf die zu bearbeitende Richtlinie, und klicken Sie dann auf Bearbeiten.

  4. Öffnen Sie in der Konsolenstruktur nacheinander Computerkonfiguration, Richtlinien, Windows-Einstellungen, Sicherheitseinstellungen, Richtlinien öffentlicher Schlüssel und schließlich Zwischenzertifizierungsstellen.

  5. Falls keine Zertifizierungsstellenzertifikate angezeigt werden, exportieren Sie das Zertifizierungsstellenzertifikat aus der ausstellenden Zertifizierungsstelle, und importieren Sie das Zertifikat in Zwischenzertifizierungsstellen. Weitere Informationen finden Sie unter Exportieren eines Zertifikats.

  6. Klicken Sie mit der rechten Maustaste auf das Zertifizierungsstellenzertifikat, klicken Sie auf Eigenschaften, und klicken Sie dann auf die Registerkarte OCSP.

  7. Geben Sie eine OCSP-Antwortdienst-URL ein, und klicken Sie auf URL hinzufügen.

  8. Aktivieren Sie das Kontrollkästchen Deaktivieren der Zertifikatrevokationslisten (CRL), wenn Sie verhindern möchten, dass Domänenmitglieder von Speicherorten für Zertifikatsperrlisten-Verteilungspunkte, die in ausgestellten Zertifikaten angegeben sind, Zertifikatsperrlisten (Certificate Revocation Lists, CRLs) herunterladen.

    Vorsicht

    Es wird davon abgeraten, Zertifikatsperrlisten zu deaktivieren. OCSP hat Vorrang vor Zertifikatsperrlisten, wenn jeweils URLs vorhanden sind. Die Zertifikatsperrüberprüfung bestimmt jedoch, ob das Herunterladen und Zwischenspeichern einer einzelnen Zertifikatsperrliste effizienter als mehrere OCSP-Anforderungen ist.

  9. Klicken Sie auf OK, um die Änderungen zu speichern.

Hinweis

Änderungen an der Gruppenrichtlinie werden von Domänenmitgliedern basierend auf dem Aktualisierungsintervall der Gruppenrichtlinie regelmäßig beim Starten der Computer und beim Anmelden der Benutzer angewendet. Das Standardaktualisierungsintervall beträgt 90 Minuten. Führen Sie den Befehl Gpupdate aus, um die Gruppenrichtlinie für ein Domänenmitglied sofort zu aktualisieren.

Weitere Verweise


Inhaltsverzeichnis