Ein Online-Responder muss über ein gültiges OCSP-Antwortsignaturzertifikat verfügen, um ordnungsgemäß ausgeführt zu werden. Dieses OCSP-Antwortsignaturzertifikat ist auch erforderlich, wenn Sie einen OCSP-Responder von einem Drittanbieter verwenden.
Das Konfigurieren einer Zertifizierungsstelle zur Unterstützung von OCSP-Responder-Diensten schließt folgende Schritte ein:
-
Konfigurieren Sie Zertifikatvorlagen und Ausstellungseigenschaften für OCSP-Antwortsignaturzertifikate.
-
Konfigurieren Sie Registrierungsberechtigungen für alle Computer mit Online-Respondern.
-
Wenn es sich hierbei um eine Windows Server 2003-basierte Zertifizierungsstelle handelt, aktivieren Sie in ausgestellten Zertifikaten die OCSP-Erweiterung.
-
Fügen Sie der Erweiterung des Stelleninformationszugriffs auf der Zertifizierungsstelle den Speicherort des Online-Responders oder OCSP-Responders hinzu.
-
Aktivieren Sie die OCSP-Antwortsignaturzertifikatvorlage für die Zertifizierungsstelle.
Die Zertifikatvorlage, die zur Ausstellung eines OCSP-Antwortsignaturzertifikats verwendet wurde, muss die Erweiterung mit der Bezeichnung "OCSP-Prüfung der Nichtsperrung" und die OCSP-Signaturanwendungsrichtlinie enthalten. Es müssen auch Berechtigungen konfiguriert werden, damit der Computer mit dem Online-Responder für dieses Zertifikat registriert werden kann.
Das folgende Verfahren gilt für eine Zertifizierungsstelle, die auf einem Computer unter Windows Server 2008 R2 oder Windows Server 2008 installiert ist.
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins, Organisations-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwalten einer Public Key-Infrastruktur (PKI) finden Sie unter Implementieren der rollenbasierten Verwaltung.
So konfigurieren Sie die Zertifikatvorlage für ein von einer auf Windows Server 2008 R2 oder Windows Server 2008 basierenden Zertifizierungsstelle ausgestelltes OCSP-Antwortsignaturzertifikat |
Öffnen Sie das Zertifikatvorlagen-Snap-In.
Hinweis Wenn Sie dieses Verfahren auf einem Computer ausführen, auf dem keine Zertifizierungsstelle bzw. kein Online-Responder installiert ist, müssen Sie gegebenenfalls die Active Directory-Zertifikatsdienste-Remoteserver-Verwaltungstools (Active Directory Certificate Services, AD CS) installieren, damit Sie das Zertifikatvorlagen-Snap-In verwenden können. Weitere Informationen zu Remoteserver-Verwaltungstools finden Sie unter Verwalten eines Online-Responders über einen anderen Computer.
Klicken Sie mit der rechten Maustaste auf die Vorlage OCSP-Antwortsignatur, und klicken Sie dann auf Eigenschaften.
Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie unter Gruppen- oder Benutzername auf Hinzufügen.
Klicken Sie auf Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie dann auf OK.
Geben Sie den Namen des Computers ein, oder navigieren Sie zu dem Computer, auf dem sich der Online-Responder oder die OCSP-Responder-Dienste befinden, und klicken Sie auf OK.
Klicken Sie im Dialogfeld Gruppen- oder Benutzernamen auf den Computernamen, und aktivieren Sie im Dialogfeld Berechtigungen die Kontrollkästchen Lesen und Registrieren. Klicken Sie dann auf OK.
Das folgende Verfahren gilt für eine Zertifizierungsstelle, die auf einem Computer unter Windows Server 2003 installiert ist. Das Verfahren muss auf einem Computer unter Windows Server 2008 R2 oder Windows Server 2008 ausgeführt werden.
Sie müssen mindestens Mitglied der Gruppe Domänen-Admins, Organisations-Admins oder einer entsprechenden Gruppe sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwalten einer PKI finden Sie unter Implementieren der rollenbasierten Verwaltung.
So konfigurieren Sie die Zertifikatvorlage für ein von einer Windows Server 2003-basierten Zertifizierungsstelle ausgestelltes OCSP-Antwortsignaturzertifikat |
Öffnen Sie das Snap-In Zertifikatvorlagen.
Klicken Sie mit der rechten Maustaste auf die Vorlage OCSP-Antwortsignatur, und klicken Sie dann auf Duplizieren. Klicken Sie auf Windows Server 2003 Enterprise Edition, und klicken Sie dann auf OK.
Klicken Sie auf die Registerkarte Sicherheit. Klicken Sie unter Gruppen- oder Benutzername auf Hinzufügen, und geben Sie dann den Namen des Computers ein, oder navigieren Sie zu dem Computer, auf dem sich der Online-Responder oder die OCSP-Responder-Dienste befinden.
Klicken Sie auf Objekttypen, aktivieren Sie das Kontrollkästchen Computer, und klicken Sie dann auf OK.
Geben Sie den Namen des Computers ein, oder navigieren Sie zu dem Computer, auf dem sich der Online-Responder oder die OCSP-Responder-Dienste befinden, und klicken Sie auf OK.
Klicken Sie im Dialogfeld Gruppen- oder Benutzernamen auf den Computernamen, und aktivieren Sie im Dialogfeld Berechtigungen die Kontrollkästchen Lesen und Registrieren.
Hinweis | |
Die Standardvorlage des OCSP-Antwortsignaturzertifikats enthält eine Erweiterung mit der Bezeichnung "OCSP-Prüfung der Nichtsperrung". Entfernen Sie diese Erweiterung nicht. Sie wird von zahlreichen Clients verwendet, um zu überprüfen, ob mit dem Signaturzertifikat signierte Antworten gültig sind. |
Wenn die Zertifizierungsstelle auf einem Computer unter Windows Server 2003 installiert wird, müssen Sie folgendes Verfahren ausführen, um das Richtlinienmodul auf der Zertifizierungsstelle so zu konfigurieren, dass es Zertifikate mit dieser Erweiterung ausstellt.
Sie müssen als lokaler Administrator angemeldet sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwalten einer PKI finden Sie unter Implementieren der rollenbasierten Verwaltung.
So bereiten Sie einen Computer unter Windows Server 2003 für das Ausstellen von OCSP-Antwortsignaturzertifikaten vor |
Öffnen Sie auf dem Server mit der Zertifizierungsstelle eine Eingabeaufforderung, und geben Sie Folgendes ein:
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
Halten Sie die Zertifizierungsstelle an, und starten Sie sie neu. Sie können dazu eine Eingabeaufforderung verwenden. Geben Sie folgende Befehle ein:
net stop certsvc net start certsvc
Führen Sie mit dem Zertifizierungsstellen-Snap-In folgende Schritte zur Zertifizierungsstellenkonfiguration durch, um die Zertifizierungsstelle für das OCSP zu konfigurieren:
-
Fügen Sie der Erweiterung des Stelleninformationszugriffs den Speicherort des Online-Responders oder OCSP-Responders hinzu.
-
Aktivieren Sie die Zertifikatvorlage für die Zertifizierungsstelle.
Sie müssen als Zertifizierungsstellenadministrator angemeldet sein, um dieses Verfahren ausführen zu können. Weitere Informationen zum Verwalten einer PKI finden Sie unter Implementieren der rollenbasierten Verwaltung.
So konfigurieren Sie eine Zertifizierungsstelle zur Unterstützung eines Online-Responders oder OCSP-Responder-Diensts |
Öffnen Sie das Zertifizierungsstellen-Snap-In.
Klicken Sie in der Konsolenstruktur auf den Namen der Zertifizierungsstelle.
Klicken Sie im Menü Aktion auf Eigenschaften.
Klicken Sie auf die Registerkarte Erweiterungen.
Klicken Sie in der Liste Erweiterung auswählen auf Zugriff auf Stelleninformationen, und klicken Sie dann auf Hinzufügen.
Geben Sie die Speicherorte an, von denen Benutzer Zertifikatsperrdaten beziehen können, z. B. http://computername/ocsp.
Aktivieren Sie das Kontrollkästchen In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen.
Klicken Sie in der Konsolenstruktur des Zertifizierungsstellen-Snap-Ins mit der rechten Maustaste auf Zertifikatvorlagen, und klicken Sie dann auf Neue auszustellende Zertifikatvorlagen.
Wählen Sie in Zertifikatvorlagen aktivieren die Vorlage OCSP-Antwortsignatur und andere zuvor konfigurierte Zertifikatvorlagen aus, und klicken Sie dann auf OK.
Doppelklicken Sie auf Zertifikatvorlagen, und überprüfen Sie, ob die geänderten Zertifikatvorlagen in der Liste angezeigt werden.