Dopo aver completato l'installazione di un risponditore online, è possibile accertarsi che funzioni correttamente verificando che sia possibile effettuare operazioni quali la registrazione automatica e la revoca dei certificati, nonché rendere disponibili dati di revoca esatti mediante il risponditore online.
Per eseguire questa procedura, è necessario essere un amministratore della CA. Per ulteriori informazioni sull'amministrazione di un'infrastruttura a chiave pubblica (PKI), vedere Implementare l'amministrazione basata sui ruoli.
Per verificare che il risponditore online funzioni correttamente |
Nella CA configurare diversi modelli di certificato per la registrazione automatica da parte di computer e utenti.
Dopo la pubblicazione dei nuovi modelli di certificato in Servizi di dominio Active Directory, aprire una finestra del prompt dei comandi nel computer client e immettere il comando seguente per avviare la registrazione automatica dei certificati:
certutil -pulse
Nota La replica delle informazioni sui nuovi certificati nei controller di dominio può richiedere diverse ore.
Nel computer client utilizzare lo snap-in Certificati per verificare che siano stati emessi i nuovi certificati. In caso contrario, ripetere il passaggio 2. È inoltre possibile riavviare il computer client per avviare la registrazione automatica dei certificati.
Nella CA utilizzare lo snap-in Autorità di certificazione per visualizzare e revocare uno o più certificati emessi facendo clic su Autorità di certificazione (computer)\Nome CA\Certificati emessi e selezionando il certificato che si desidera revocare. Scegliere Tutte le attività dal menu Azione e quindi fare clic su Revoca certificato. Selezionare il motivo di revoca del certificato e fare clic su Sì.
Nello snap-in Autorità di certificazione pubblicare un nuovo elenco di revoche di certificati (CRL) facendo clic su Autorità di certificazione (computer)\Nome CA\Certificati revocati nell'albero della console. Scegliere quindi Tutte le attività dal menu Azione e fare clic su Pubblica.
Nel computer client utilizzare lo snap-in Certificati per esportare uno dei certificati emessi e salvarlo come file X.509.
Aprire il prompt dei comandi e digitare il comando seguente:
certutil –url <exportedcert.cer>
Nella finestra di dialogo Strumento di recupero URL selezionare OCSP (da AIA) e quindi fare clic su Recupera. Dopo il recupero del CRL, lo stato verrà visualizzato come Verificato.