La ficha Firma de la página Propiedades del Respondedor en línea muestra el algoritmo hash que se usa para comprobar las operaciones de firma de las respuestas a los clientes del Respondedor en línea.
Se pueden configurar las siguientes opciones de firma:
-
No pedir credenciales para operaciones criptográficas. Si la clave de firma está fuertemente protegida mediante una contraseña adicional, la selección de esta opción significa que el Respondedor en línea no pedirá la contraseña al usuario y producirá un error de forma silenciosa.
Nota No seleccione esta opción si se usa un módulo de seguridad de hardware (HSM) para proteger las claves privadas.
-
Usar automáticamente certificados de firma renovados. Indica al Respondedor en línea que use automáticamente certificados de firma renovados sin pedir al administrador del Respondedor en línea que los asigne manualmente.
-
Habilitar compatibilidad con extensión NONCE. Indica al Respondedor en línea que inspeccione y procese una solicitud de Protocolo de estado de certificados en línea (OCSP) que incluye una extensión de valor de seguridad (nonce). Si se incluye una extensión nonce en la solicitud de OCSP y se selecciona esta opción, el Respondedor en línea omitirá cualquier respuesta de OCSP en caché y creará una nueva respuesta que incluirá el valor de seguridad (nonce) suministrado en la solicitud. Si se deshabilita esta opción y se recibe una solicitud que incluye una extensión nonce, el Respondedor en línea rechazará la solicitud con un error de "no autorizado".
Nota El cliente OCSP de Microsoft no admite la extensión nonce.
-
Usar cualquier certificado de firma de OCSP válido. De forma predeterminada, el Respondedor en línea sólo usará certificados de firma emitidos por la misma entidad de certificación (CA) que emitió el certificado que se va a validar. Esta opción permite modificar el comportamiento predeterminado e indica al Respondedor en línea que use cualquier certificado válido existente que incluya la extensión EKU de firma de OCSP.
Nota Los clientes que ejecuten versiones de Windows anteriores a Windows Vista con Service Pack (SP1) no admiten esta opción y las solicitudes de estado de certificado de estos clientes producirán errores si está seleccionada esta opción.
Se pueden usar las siguientes opciones de identificador de Respondedor en línea para seleccionar si se incluye en la respuesta la hash de clave o el sujeto del certificado de firma.
-
Hash de clave del certificado de firma. Algunos proveedores de servicios de cifrado (CSP) requieren el hash de clave del certificado de firma para obtener acceso a las claves privadas.
-
Sujeto del certificado de firma. Algunos proveedores de servicios de cifrado requieren el sujeto del certificado de firma para obtener acceso a las claves privadas.