I certificati Firma risposta OCSP devono essere firmati con la stessa chiave dell'Autorità di certificazione (CA) utilizzata per la firma dei certificati finali di cui forniscono lo stato.

Dopo il rinnovo della chiave, questa viene utilizzata dalla CA per firmare i nuovi certificati rilasciati. Nel periodo compreso tra il rinnovo di un certificato CA e la data di scadenza del certificato CA originale, la CA non può rilasciare o rinnovare certificati Firma risposta OCSP, il che potrebbe impedire a un risponditore online di firmare le risposte OCSP.

Per risolvere questo problema, è possibile modificare il comportamento predefinito delle CA basate su Windows Server 2008 R2 e Windows Server 2008 affinché consentano l'emissione di certificati Firma risposta OCSP mediante una chiave CA rinnovata.

Per poter completare questa procedura, è necessario essere un amministratore del server che ospita la CA. Per ulteriori informazioni sull'amministrazione di un'infrastruttura a chiave pubblica (PKI), vedere Implementare l'amministrazione basata sui ruoli.

Per consentire il rinnovo di certificati Firma risposta OCSP mediante chiavi CA esistenti
  1. Nel computer che ospita la CA aprire un prompt dei comandi e digitare:

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. Premere INVIO.

  3. Riavviare il servizio CA.

Ulteriori riferimenti