ביטול תוקף של אישור מבטל את תקפות האישור כאישור אבטחה מהימן לפני התפוגה המתוכננת של תקופת התוקף שלו. תשתית מפתח ציבורי (PKI) תלויה באימות מבוזר של אישורים, בו אין צורך בתקשורת ישירה עם הישות המהימנה המרכזית שערבה לאישורים.

כדי לתמוך באופן יעיל בביטול תוקף של אישורים, מחשב הלקוח חייב לקבוע אם האישור חוקי או אם תוקפו בוטל. כדי לתמוך במגוון תרחישים, Active Directory Certificate Services תומך בשיטות ביטול אישורים מקובלות בתחום. שיטות אלה כוללות פרסום של רשימות ביטול אישורים (CRL) ו- CRL של דלתא במספר מיקומים שאליהם הלקוחות יוכלו לגשת, כולל Active Directory Domain Services, שרתי אינטרנט ושיתופי קבצים ברשת. ב- Windows, ניתן להפוך נתוני ביטול תוקף לזמינים גם במגוון הגדרות באמצעות תגובות של Online Certificate Status Protocol (OCSP)‎.

הערה

המערכת מפרסמת רשימות CRL במיקומי רשת שצוינו על בסיס תקופתי, משם יכולים מחשבי לקוח להוריד אותן. תגובות OCSP הן תגובות בעלות חתימה דיגיטלית המציינות אם תוקף של אישור יחיד בוטל או הושעה, או אם מצב האישור אינו ידוע. מגיבי OCSP מקבלים את הנתונים שלהם מ- CRL שפורסמו או ניתן לעדכן אותם ישירות ממסד הנתונים של מצבי אישורים של רשות אישורים (CA).

בנוסף, מדיניות קבוצתית של מפתח ציבורי מאפשרת למנהלי מערכת לשפר את השימוש ברשימות CRL ובמשיבי OCSP, בייחוד במצבים שבהם רשימות CRL גדולות במיוחד או שתנאי הרשת פוגעים בביצועים.

נושא זה כולל הליכים עבור המשימות הבאות:

קביעת תצורה של הגדרות ביטול תוקף במחשב מקומי

Administrators היא ההגדרה המינימלית עבור חברות בקבוצה הנדרשת להשלמת הליך זה.

כדי לקבוע תצורה של הגדרות ביטול תוקף במחשב מקומי

  1. לחץ על התחל, הקלד gpedit.msc בתיבה חפש בתוכניות ובקבצים ולאחר מכן הקש ENTER.

  2. בעץ המסוף תחת מדיניות מחשב מקומי/תצורת מחשב/הגדרות Windows/הגדרות אבטחה, לחץ על מדיניות מפתח ציבורי.

  3. לחץ פעמיים על Certificate Path Validation Settings ולאחר מכן לחץ על הכרטיסיה Revocation.

  4. בחר בתיבת הסימון קבע הגדרות מדיניות אלה, בחר בהגדרות המדיניות שברצונך להחיל ולאחר מכן לחץ על אישור כדי להחיל את ההגדרות החדשות.

קביעת תצורה של הגדרות ביטול תוקף עבור תחום

חברות בקבוצה Domain Admins היא הרמה המינימלית הדרושה להשלמת הליך זה.

כדי לקבוע תצורה של הגדרות ביטול תוקף עבור תחום

  1. לחץ על התחל, הצבע על כלי ניהול ולחץ על Server Manager.

  2. תחת Features Summary, לחץ על Add Features. בחר בתיבת הסימון Group Policy Management, לחץ על Next ולאחר מכן לחץ על Install.

  3. לאחר שהדף Installation Results מראה שההתקנה של מסוף ניהול המדיניות הקבוצתית (GPMC) הצליחה, לחץ על Close.

  4. לחץ על Start, הצבע על Administrative Tools ולאחר מכן לחץ על Group Policy Management.

  5. בעץ המסוף, לחץ פעמיים על Group Policy Objects ביער ובתחום המכילים את אובייקט המדיניות הקבוצתית (GPO) של Default Domain Policy שברצונך לערוך.

  6. לחץ באמצעות לחצן העכבר הימני על ה- GPO של Default Domain Policy ולאחר מכן לחץ על Edit.

  7. בעץ המסוף תחת תצורת מחשב/הגדרות Windows/הגדרות אבטחה, לחץ על מדיניות מפתח ציבורי.

  8. לחץ פעמיים על הגדרות של אימות נתיב אישור ולאחר מכן לחץ על הכרטיסיה ביטול תוקף.

  9. בחר בתיבת הסימון קבע הגדרות מדיניות אלה, בחר בהגדרות המדיניות שברצונך להחיל ולאחר מכן לחץ על אישור כדי להחיל את ההגדרות החדשות.

הארכת תקופת התוקף של תגובות CRL ו- OCSP עבור מחשב מקומי

חברות בקבוצה Administrators היא הרמה המינימלית הדרושה לביצוע הליך זה.

כדי להאריך את תקופת התוקף של תגובות CRL ו- OCSP עבור מחשב מקומי

  1. לחץ על התחל, הקלד gpedit.msc בתיבה חפש בתוכניות ובקבצים ולאחר מכן הקש ENTER.

  2. בעץ המסוף תחת מדיניות מחשב מקומי/תצורת מחשב/הגדרות Windows/הגדרות אבטחה, לחץ על מדיניות מפתח ציבורי.

  3. לחץ פעמיים על Certificate Path Validation Settings ולאחר מכן לחץ על הכרטיסיה Revocation.

  4. בחר בתיבת הסימון Define these policy settings ולאחר מכן בחר בתיבת הסימון Allow CRL and OCSP responses to be valid longer than their lifetime.

  5. בתיבה משך הזמן כברירת מחדל שבו ניתן להאריך את תקופת התקפות, הזן ערך זמן (בשעות) ולאחר מכן לחץ על אישור כדי להחיל את ההגדרות החדשות.

הארכת תקופת התוקף של תגובות CRL ו- OCSP עבור תחום

חברות בקבוצה Domain Admins היא הרמה המינימלית הדרושה להשלמת הליך זה.

כדי להאריך את תקופת התוקף של תגובות CRL ו- OCSP עבור תחום

  1. לחץ על התחל, הצבע על כלי ניהול ולחץ על Server Manager.

  2. תחת Features Summary, לחץ על Add Features. בחר בתיבת הסימון Group Policy Management, לחץ על Next ולאחר מכן לחץ על Install.

  3. לאחר שדף Installation Results מראה שההתקנה של ה- GPMC הצליחה, לחץ על Close.

  4. לחץ על התחל, הצבע על כלי ניהול ולאחר מכן לחץ על ניהול מדיניות קבוצתית.

  5. בעץ המסוף, לחץ פעמיים על Group Policy Objects ביער ובתחום המכילים את ה- GPO של Default Domain Policy שברצונך לערוך.

  6. לחץ באמצעות לחצן העכבר הימני על ה- GPO של ניהול מדיניות קבוצתית ולאחר מכן לחץ על ערוך.

  7. בעץ המסוף תחת תצורת מחשב/הגדרות Windows/הגדרות אבטחה, לחץ על מדיניות מפתח ציבורי.

  8. לחץ פעמיים על הגדרות של אימות נתיב אישור ולאחר מכן לחץ על הכרטיסיה ביטול תוקף.

  9. בחר בתיבת הסימון קבע הגדרות מדיניות אלה ולאחר מכן בחר בתיבת הסימון אפשר לרשימות ביטול אישורים ולתגובות OCSP להיות חוקיות לזמן ממושך יותר מתקופת החיים שלהם.

  10. בתיבה Default time the validity period can be extended, הזן ערך זמן (בשעות) ולאחר מכן לחץ על OK כדי להחיל את ההגדרות החדשות.

חומר עזר נוסף


תוכן העניינים