Un répondeur en ligne peut être installé sur n’importe quel ordinateur exécutant Windows Server 2008 R2 Entreprise, Windows Server 2008 R2 Datacenter, Windows Server 2008 Entreprise ou Windows Server 2008 Datacenter. Les données de révocation de certificats peuvent provenir d’une autorité de certification sur un ordinateur exécutant Windows Server 2008 R2, Windows Server 2008, Windows Server 2003 ou d’une autorité de certification non Microsoft.
Remarques | |
Les services Internet (IIS) doivent également être installés sur cet ordinateur pour que le répondeur en ligne puisse être installé. |
Vous pouvez utiliser la procédure suivante si aucun des services de rôle AD CS (Active Directory Certificate Services), tels qu’une autorité de certification, n’a été installé sur cet ordinateur.
Le minimum requis pour mener à bien cette procédure est d’appartenir au groupe Administrateurs local ou à un groupe équivalent. Pour plus d’informations sur l’administration d’une infrastructure à clé publique (PKI), voir Implémenter l’administration basée sur les rôles.
Pour installer le service de répondeur en ligne |
Cliquez sur Démarrer, pointez sur Outils d’administration, puis cliquez sur Gestionnaire de serveur.
Cliquez sur Gérer les rôles. Dans la section Services de certificats Active Directory, cliquez sur Ajouter des services de rôle. Si un service de rôle AD CS différent est déjà installé sur cet ordinateur, activez la case à cocher Services de certificats Active Directory du volet Résumé des rôles, puis cliquez sur Ajouter des services de rôle.
Dans la page Sélectionner les services de rôle, activez la case à cocher Protocole d’état de certificat en ligne.
Un message apparaît indiquant que IIS et la fonctionnalité Service d’activation Windows (WAS) doivent également être installés pour prendre en charge OCSP.
Cliquez sur Ajouter les services de rôle requis, puis cliquez trois fois sur Suivant.
Dans la page Confirmer les options d’installation, cliquez sur Installer.
Une fois l’installation terminée, passez en revue la page d’état pour vérifier que l’installation a réussi.
Considérations supplémentaires
-
Pour pouvoir utiliser un répondeur en ligne, vous devez également créer une configuration de révocation. Reportez-vous à Création d’une configuration de révocation.
- Par défaut, le filtrage des demandes IIS 7.0 bloque le signe plus (+) utilisé dans l'adresse URL des listes de révocation de certificats différentielles. Pour autoriser la récupération des listes de révocation de certificats différentielles, modifiez la configuration IIS en définissant allowDoubleEscaping=true sur l'élément requestFiltering dans la section system.web de la configuration IIS. Pour plus d’informations sur la configuration du filtrage des demandes IIS 7.0, voir IIS 7.0 : configurer le filtrage des demandes dans IIS 7.0
(
https://go.microsoft.com/fwlink/?LinkId=136512 ) (éventuellement en anglais).Sécurité Remarques Autoriser certains caractères à passer par le filtrage des demandes peut entraîner une baisse du niveau de sécurité, ce qui peut être inacceptable dans certains environnements. Pour avoir des explications sur ce type de menace, voir le chapitre 12 du guide Écriture de code sécurisé (
https://go.microsoft.com/fwlink/?LinkId=136514 ) (éventuellement en anglais).