Pour fonctionner correctement, un répondeur en ligne doit disposer d’un certificat de signature de réponse OCSP (Online Certificate Status Protocol) valide. Ce certificat de signature de réponse OCSP est également nécessaire si vous utilisez un répondeur OCSP non Microsoft.

Configurer une autorité de certification (CA) pour prendre en charge les services de répondeur OCSP implique les étapes suivantes :

  1. Configurer des modèles de certificats et des propriétés d’émission pour les certificats de signature de réponse OCSP.

  2. Configurer des autorisations d’inscription pour les ordinateurs allant héberger des répondeurs en ligne.

  3. S’il s’agit d’une autorité de certification Windows Server 2003, activer l’extension OCSP dans les certificats délivrés.

  4. Ajouter l’emplacement du répondeur en ligne ou du répondeur OCSP à l’extension d’accès aux informations de l’autorité dans l’autorité de certification.

  5. Activer le modèle de certificat de signature de réponse OCSP de l’autorité de certification.

Le modèle de certificat utilisé pour délivrer un certificat de signature de réponse OCSP doit contenir une extension nommée "OCSP Aucune vérification de révocation" et la stratégie d’application de signature OCSP. Des autorisations doivent également être configurées pour permettre à l’ordinateur allant héberger le répondeur en ligne de s’inscrire à ce certificat.

La procédure suivante concerne une autorité de certification installée sur un ordinateur exécutant Windows Server 2008 R2 ou Windows Server 2008.

Pour effectuer cette procédure, vous devez appartenir au minimum au groupe Admins du domaine ou Administrateurs de l’entreprise ou à un compte équivalent. Pour plus d’informations sur l’administration d’une infrastructure à clé publique (PKI), voir Implémenter l’administration basée sur les rôles.

Pour configurer le modèle de certificat d’un certificat de signature de réponse OCSP délivré par une autorité de certification Windows Server 2008 R2 ou Windows Server 2008

  1. Ouvrez le composant logiciel enfichable Modèles de certificats.

    Remarques

    Si vous effectuez cette procédure sur un ordinateur sur lequel une autorité de certification ou un répondeur en ligne n’est pas installé, il peut être nécessaire d’installer les outils d’administration de serveur distant AD CS (Active Directory Certificate Services) afin d’utiliser le composant logiciel enfichable Modèles de certificats. Pour plus d’informations sur les outils d’administration de serveur distant, voir Administrer un répondeur en ligne à partir d’un autre ordinateur.

  2. Cliquez avec le bouton droit sur le modèle Signature de la réponse OCSP, puis cliquez sur Propriétés.

  3. Cliquez sur l’onglet Sécurité. Dans la section Nom de groupe ou d’utilisateur, cliquez sur Ajouter.

  4. Cliquez sur Types d’objet, activez la case à cocher Ordinateurs, puis cliquez sur OK.

  5. Tapez ou recherchez le nom de l’ordinateur hébergeant le répondeur en ligne ou les services de répondeur OCSP, puis cliquez sur OK.

  6. Dans la boîte de dialogue Nom de groupe ou d’utilisateur, cliquez sur le nom de l’ordinateur et, dans la boîte de dialogue Autorisations, activez les cases à cocher Lecture et Inscription. Cliquez ensuite sur OK.

La procédure suivante concerne une autorité de certification installée sur un ordinateur exécutant Windows Server 2003. La procédure doit être effectuée sur un ordinateur exécutant Windows Server 2008 R2 ou Windows Server 2008.

Pour effectuer cette procédure, vous devez appartenir au minimum au groupe Admins du domaine ou Administrateurs de l’entreprise ou à un compte équivalent. Pour plus d’informations sur l’administration d’une infrastructure à clé publique (PKI), voir Implémenter l’administration basée sur les rôles.

Pour configurer le modèle de certificat d’un certificat de signature de réponse OCSP délivré par une autorité de certification Windows Server 2003

  1. Ouvrez le composant logiciel enfichable Modèles de certificats.

  2. Cliquez avec le bouton droit sur le modèle Signature de la réponse OCSP, puis cliquez sur Dupliqué. Cliquez sur Windows 2003 Server, Enterprise Edition, puis sur OK.

  3. Cliquez sur l’onglet Sécurité. Dans la section Nom de groupe ou d’utilisateur, cliquez sur Ajouter, puis tapez ou recherchez le nom de l’ordinateur hébergeant le répondeur en ligne ou les services de répondeur OCSP.

  4. Cliquez sur Types d’objets, activez la case à cocher Ordinateurs, puis cliquez sur OK.

  5. Tapez ou recherchez le nom de l’ordinateur hébergeant le répondeur en ligne ou les services de répondeur OCSP, puis cliquez sur OK.

  6. Dans la boîte de dialogue Nom de groupe ou d’utilisateur, cliquez sur le nom de l’ordinateur et, dans la boîte de dialogue Autorisations, activez les cases à cocher Lecture et Inscription.

Remarques

Le modèle de certificat de signature de réponse OCSP par défaut contient une extension nommée "OCSP Aucune vérification de révocation." Ne supprimez pas cette extension, que de nombreux clients utilisent pour vérifier que les réponses signées avec le certificat de signature sont valides.

Si l’autorité de certification est installée sur un ordinateur exécutant Windows Server 2003, vous devez effectuer la procédure suivante afin de configurer le module de stratégie de l’autorité de certification pour délivrer des certificats incluant cette extension.

Pour mener à bien cette procédure, vous devez être un administrateur local. Pour plus d’informations sur l’administration d’une infrastructure à clé publique (PKI), voir Implémenter l’administration basée sur les rôles.

Pour préparer un ordinateur exécutant Windows Server 2003 à délivrer des certificats de signature de réponse OCSP

  1. Sur le serveur hébergeant l’autorité de certification, ouvrez une invite de commandes et tapez :

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5

  2. Arrêtez et redémarrez l’autorité de certification. Pour ce faire, exécutez les commandes suivantes à l’invite de commandes :

    net stop certsvc
net start certsvc

Pour configurer votre autorité de certification pour OCSP, vous devez utiliser le composant logiciel enfichable Autorité de certification afin d’effectuer les étapes de configuration de l’autorité de certification suivantes :

  • Ajouter l’emplacement du répondeur en ligne ou du répondeur OCSP à l’extension d’accès aux informations de l’autorité.

  • Activer le modèle de certificat de l’autorité de certification.

Pour mener à bien cette procédure, vous devez être un administrateur d’autorité de certification. Pour plus d’informations sur l’administration d’une infrastructure à clé publique (PKI), voir Implémenter l’administration basée sur les rôles.

Pour configurer une autorité de certification afin de prendre en charge un répondeur en ligne ou des services de répondeur OCSP

  1. Ouvrez le composant logiciel enfichable Autorité de certification.

  2. Dans l’arborescence de la console, cliquez sur le nom de l’autorité de certification.

  3. Dans le menu Action, cliquez sur Propriétés.

  4. Cliquez sur l’onglet Extensions.

  5. Dans la liste Sélectionner l’extension, cliquez sur Accès aux informations de l’Autorité (AIA), puis sur Ajouter.

  6. Spécifiez les emplacements à partir desquels les utilisateurs peuvent obtenir les données de révocation de certificats (par exemple, http://computername/ocsp).

  7. Activez la case à cocher Inclure dans l’extension OCSP (Online Certificate Status Protocol).

  8. Dans l’arborescence de la console du composant logiciel enfichable Autorité de certification, cliquez avec le bouton droit sur Modèles de certificats, puis cliquez sur Modèle de certificat à délivrer.

  9. Dans la section Activer les modèles de certificat, sélectionnez le modèle Signature de la réponse OCSP et les autres modèles de certificat que vous avez configurés précédemment, puis cliquez sur OK.

  10. Double-cliquez sur Modèles de certificats et vérifiez que les modèles de certificats modifiés apparaissent dans la liste.

Références supplémentaires

Table des matières