OCSP-Antwortsignaturzertifikate (Online Certificate-Statusprotokoll) müssen durch denselben Zertifizierungsstellenschlüssel signiert werden, der für die Signierung der Endeinheitszertifikate verwendet wurde, deren Status sie bereitstellen.
Nachdem ein Zertifizierungsstellenschlüssel erneuert wurde, wird dieser neue Schlüssel von der Zertifizierungsstelle zum Signieren neu ausgestellter Zertifikate verwendet. Im Zeitraum zwischen der Erneuerung eines Zertifizierungsstellenzertifikats und dem Ablaufdatum des ursprünglichen Zertifizierungsstellenzertifikats kann die Zertifizierungsstelle keine OCSP-Antwortsignaturzertifikate ausstellen oder erneuern, was dazu führen kann, dass OCSP-Antworten von einem Online-Responder nicht signiert werden können.
Sie können jedoch, um das Problem zu umgehen, Zertifizierungsstellen, die auf Windows Server 2008 R2 und Windows Server 2008 basieren, so konfigurieren, dass OCSP-Antwortsignaturzertifikate mithilfe eines erneuerten Zertifizierungsstellenschlüssels ausgestellt werden können.
Sie müssen auf dem Server mit der Zertifizierungsstelle als Administrator angemeldet sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwalten einer Public Key-Infrastruktur (PKI) finden Sie unter Implementieren der rollenbasierten Verwaltung.
So werden OCSP-Antwortsignaturzertifikate mithilfe vorhandener Zertifizierungsstellenschlüssel erneuert |
Öffnen Sie auf dem Zertifizierungsstellencomputer eine Eingabeaufforderung, und geben Sie Folgendes ein:
certutil -setreg ca\UseDefinedCACertInRequest 1
Drücken Sie die EINGABETASTE.
Starten Sie den Zertifizierungsstellendienst neu.