Les certificats de signature de réponse OCSP (Online Certificate Status Protocol) doivent être signés par la clé d’autorité de certification (CA) ayant été utilisée pour signer les certificats d’entités finales dont ils fournissent l’état.

Une fois une clé d’autorité de certification renouvelée, l’autorité de certification utilise la nouvelle clé pour signer les certificats nouvellement délivrés. Dans la période séparant le moment auquel un certificat d’autorité de certification est renouvelé et la date d’expiration du certificat d’autorité de certification d’origine, l’autorité de certification ne peut pas délivrer ou renouveler de certificats de signature de réponse OCSP, ce qui peut empêcher un répondeur en ligne de signer des réponses OCSP.

Pour résoudre ce problème, les autorités de certification Windows Server 2008 R2 et Windows Server 2008 peuvent être configurées pour modifier le fonctionnement par défaut et permettre de délivrer des certificats de signature de réponse OCSP via l’utilisation d’une clé d’autorité de certification renouvelée.

Pour mener à bien cette procédure, vous devez être un administrateur du serveur hébergeant l’autorité de certification. Pour plus d’informations sur l’administration d’une infrastructure à clé publique (PKI), voir Implémenter l’administration basée sur les rôles.

Pour permettre de renouveler des certificats de signature de réponse OCSP via l’utilisation de clés d’autorité de certification existantes
  1. Sur le serveur hébergeant l’autorité de certification, ouvrez une invite de commandes et tapez :

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. Appuyez sur Entrée.

  3. Redémarrez le service d’autorité de certification.

Références supplémentaires


Table des matières