Az online válaszadó megfelelő működéséhez érvényes OCSP-válaszaláíró tanúsítvánnyal kell rendelkeznie. OCSP-válaszaláíró tanúsítvány szükséges abban az esetben is, ha nem Microsoft OCSP-válaszadót használ.
A hitelesítésszolgáltató (CA) konfigurálása az OCSP-válaszadó szolgáltatások támogatására az alábbi lépésekből áll:
-
Tanúsítványsablonok és OCSP-válaszaláíró tanúsítványok kiállítási tulajdonságainak konfigurálása
-
Igénylési engedélyek konfigurálása minden olyan számítógéphez, amelyen online válaszadók működnek
-
Windows Server 2003-alapú hitelesítésszolgáltató esetén az OCSP kiegészítő mező engedélyezése a kiállított tanúsítványokban
-
Az online vagy az OCSP-válaszadó helyének hozzáadása a Kibocsátó adatainak terjesztési pontja kiegészítő mezőhöz
-
Az OCSP-válaszaláíró tanúsítványsablon engedélyezése a hitelesítésszolgáltatóhoz
Az OCSP-válaszaláíró tanúsítvány kiállításához használt tanúsítványsablonnak tartalmazni kell egy „OCSP visszavonás-ellenőrzés nélkül” nevű kiegészítő mezőt, valamint az OCSP-aláíráshasználati szabályzatot. Engedélyek konfigurálásával lehetővé kell tenni, hogy az online válaszadót futtató számítógép igényelhesse ezt a tanúsítványt.
Az alábbi eljárás Windows Server 2008 R2 vagy Windows Server 2008 rendszerű számítógépen telepített hitelesítésszolgáltatókra vonatkozik.
Ehhez a művelethez legalább a Tartománygazdák vagy Vállalati rendszergazdák csoporthoz, illetve valamely ezekkel egyenértékű csoporthoz kell tartoznia. A nyilvános kulcsú infrastruktúra (PKI) felügyeletével kapcsolatos további információk a Szerepköralapú felügyelet megvalósítása című témakörben találhatók.
Windows Server 2008 R2-alapú vagy Windows Server 2008-alapú hitelesítésszolgáltatók által kiállított OCSP-válaszaláíró tanúsítvány sablonjának a konfigurálása |
Nyissa meg a Tanúsítványsablonok beépülő modult.
Megjegyzés Ha olyan számítógépen hajtja végre az eljárást, amelyen nem található hitelesítésszolgáltató vagy online válaszadó, előfordulhat, hogy a Tanúsítványsablonok beépülő modul használatához telepítenie kell az Active Directory tanúsítványszolgáltatások (AD CS) Távoli kiszolgáló felügyeleti eszközei alkalmazását. A Távoli kiszolgáló felügyeleti eszközeiről az Online válaszadó felügyelete másik számítógépről című témakör tartalmaz bővebb információt.
Kattintson a jobb gombbal az OCSP-válaszaláírás sablonra, majd kattintson a Tulajdonságok parancsra.
Kattintson a Biztonság fülre. A Csoport vagy felhasználó neve területen kattintson a Hozzáadás gombra.
Kattintson az Objektumtípusok gombra, jelölje be a Számítógépek jelölőnégyzetet, majd kattintson az OK gombra.
Írja be az online válaszadó vagy az OCSP válaszadó szolgáltatásokat működtető számítógép nevét, vagy tallózással jelölje ki azt, és kattintson az OK gombra.
A Csoport vagy felhasználó neve párbeszédpanelen kattintson a számítógép nevére, és az Engedélyek párbeszédpanelen jelölje be az Olvasás és az Igénylés jelölőnégyzetet. Ezt követően kattintson az OK gombra.
Az alábbi eljárás Windows Server 2003 rendszerű számítógépen telepített hitelesítésszolgáltatókra vonatkozik. Az eljárást Windows Server 2008 R2 vagy Windows Server 2008 rendszerű számítógépen kell végrehajtani.
Ehhez a művelethez legalább a Tartománygazdák vagy Vállalati rendszergazdák csoporthoz, illetve valamely ezekkel egyenértékű csoporthoz kell tartoznia. A nyilvános kulcsú infrastruktúra (PKI) felügyeletével kapcsolatos további információk a Szerepköralapú felügyelet megvalósítása című témakörben találhatók.
Windows Server 2003–alapú hitelesítésszolgáltatók által kiállított OCSP-válaszaláíró tanúsítvány sablonjának a konfigurálása |
Nyissa meg a Tanúsítványsablonok beépülő modult.
Kattintson a jobb gombbal az OCSP-válaszaláírás sablonra, majd kattintson a Duplikálás parancsra. Jelölje be a Windows 2003 Server, Enterprise Edition választógombot, majd kattintson az OK gombra.
Kattintson a Biztonság fülre. A Csoport vagy felhasználó neve területen kattintson a Hozzáadás gombra, írja be az online válaszadó vagy az OCSP válaszadó szolgáltatásokat működtető számítógép nevét, vagy tallózással jelölje ki azt.
Kattintson az Objektumtípusok gombra, jelölje be a Számítógépek jelölőnégyzetet, majd kattintson az OK gombra.
Írja be az online válaszadó vagy az OCSP válaszadó szolgáltatásokat működtető számítógép nevét, vagy tallózással jelölje ki azt, és kattintson az OK gombra.
A Csoport vagy felhasználó neve párbeszédpanelen kattintson a számítógép nevére, és az Engedélyek párbeszédpanelen jelölje be az Olvasás és az Igénylés jelölőnégyzetet.
Megjegyzés | |
Az alapértelmezett OCSP-válaszaláíró tanúsítványsablon tartalmaz egy „OCSP visszavonás-ellenőrzés nélkül” nevű kiegészítő mezőt. Ne távolítsa el ezt a kiegészítő mezőt, amelyet számos ügyfél használ annak ellenőrzéséhez, hogy az aláíró tanúsítvánnyal aláírt válaszok érvényesek-e. |
Ha a hitelesítésszolgáltató Windows Server 2003 rendszerű számítógépen van telepítve, az alábbi eljárással konfigurálja úgy a házirendmodult a hitelesítésszolgáltatón, hogy a kiegészítő mezőt tartalmazó tanúsítványokat állítson ki.
Az eljárás végrehajtásához helyi rendszergazdának kell lennie. A nyilvános kulcsú infrastruktúra (PKI) felügyeletével kapcsolatos további információk a Szerepköralapú felügyelet megvalósítása című témakörben találhatók.
Windows Server 2003 rendszerű számítógép előkészítése OCSP-válaszaláíró tanúsítványok kiállítására |
A hitelesítésszolgáltatót működtető kiszolgálón nyisson meg egy parancssort, és írja be a következő parancsot:
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
Állítsa le, és indítsa újra a hitelesítésszolgáltatót. Ezt a műveletet a parancssorból is indíthatja az alábbi parancsok futtatásával:
net stop certsvc net start certsvc
A hitelesítésszolgáltató OCSP protokollhoz való konfigurálásához a Hitelesítésszolgáltató beépülő modullal el kell végeznie az alábbi konfigurációs lépéseket:
-
Az online vagy az OCSP-válaszadó helyének hozzáadása a Kibocsátó adatainak terjesztési pontja kiegészítő mezőhöz
-
A hitelesítésszolgáltató tanúsítványsablonjának engedélyezése
Az eljárás végrehajtásához hitelesítésszolgáltatói rendszergazdának kell lennie. A nyilvános kulcsú infrastruktúra (PKI) felügyeletével kapcsolatos további információk a Szerepköralapú felügyelet megvalósítása című témakörben találhatók.
Hitelesítésszolgáltató konfigurálása Online válaszadó vagy OCSP válaszadó szolgáltatások támogatására |
Nyissa meg a Hitelesítésszolgáltató beépülő modult.
Kattintson a konzolfán a hitelesítésszolgáltató nevére.
Kattintson a Művelet menü Tulajdonságok parancsára.
Kattintson a Kiegészítő mezők fülre.
A Kiegészítő mező választása listában jelölje ki a Kibocsátó adatainak terjesztési pontja (AIA) elemet, majd kattintson a Hozzáadás gombra.
Adja meg azokat a helyeket, ahol a felhasználók beszerezhetik a visszavont tanúsítványok adatait, például: http://számítógépnév/ocsp.
Jelölje be a Felvétel az OCSP protokoll mezőbe jelölőnégyzetet.
A Tanúsítványsablonok beépülő modul konzolfáján kattintson a jobb gombbal a Tanúsítványsablonok elemre, majd válassza a Kiállítandó tanúsítványsablon parancsot.
A Tanúsítványsablonok engedélyezése párbeszédpanelen jelölje ki az OCSP-válaszaláírás sablont, illetve bármely másik korábban konfigurált tanúsítványsablont, és kattintson az OK gombra.
Kattintson duplán a Tanúsítványsablonok elemre, és ellenőrizze, hogy megjelennek-e a listában a módosított tanúsítványsablonok.