Los certificados de Firma de respuesta del Protocolo de estado de certificados en línea (OCSP) necesitan estar firmados por la misma entidad de certificación (CA) que se usó para firmar los certificados de entidad final para la cual se suministra el estado.

Una vez que se renueva la clave de la CA, ésta usará la nueva clave para firmar los nuevos certificados que emite. En el período entre el momento en que un certificado de CA se renueva y la fecha de expiración del certificado de CA original, la CA no puede emitir ni renovar certificados de Firma de respuesta de OCSP. Esto puede evitar que un Respondedor en línea firme respuestas de OCSP.

Para solucionar este problema, las CA basadas en Windows Server 2008 R2 y Windows Server 2008 se pueden configurar para modificar el comportamiento predeterminado y permitir que los certificados de firma de respuesta de OCSP se emitan mediante una clave de CA renovada.

Para completar este procedimiento debe ser un administrador en el servidor que hospeda la CA. Para obtener más información acerca de la administración de una infraestructura de clave pública (PKI), vea Implementación de la administración basada en funciones.

Para permitir la renovación de certificados de Firma de respuesta de OCSP mediante claves de CA existentes
  1. En el equipo de la CA, abra una ventana del símbolo del sistema y escriba:

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. Presione ENTRAR.

  3. Reinicie el servicio de CA.


Tabla de contenido