[オンライン レスポンダーのプロパティ] ページの [署名] タブには、クライアントへのオンライン レスポンダー応答に対する署名操作の検証に使用されるハッシュ アルゴリズムが表示されます。
次の署名オプションを構成できます。
-
[暗号化操作の資格情報を求めるメッセージを表示しない]: 署名キーが追加のパスワードで強力に保護されている場合は、このオプションを選択すると、オンライン レスポンダーがユーザーにパスワードの入力を要求せず、警告メッセージを表示せずに失敗します。
注 ハードウェア セキュリティ モジュール (HSM) を使用して秘密キーを保護している場合は、このオプションを選択しないでください。
-
[更新された署名証明書を自動的に使用する]: 更新された署名証明書をオンライン レスポンダーが自動的に使用するように指定します。この場合、オンライン レスポンダーの管理者が証明書を手動で割り当てる必要はありません。
-
[NONCE 拡張サポートを有効にする]: オンライン レスポンダーで、nonce 拡張を含むオンライン証明書状態プロトコル (OCSP) 要求を調べて処理するように指定します。OCSP 要求に nonce 拡張が含まれており、このオプションが選択されている場合、オンライン レスポンダーはキャッシュされた OCSP 応答を無視し、要求で渡された nonce を含む新しい応答を作成します。このオプションが無効になっている場合に nonce 拡張が含まれる要求を受け取ると、オンライン レスポンダーは "unauthorized (無許可)" エラーとして要求を拒否します。
注 Microsoft OCSP クライアントは nonce 拡張をサポートしていません。
-
[任意の有効な OCSP 署名証明書を使用する]: 既定では、オンライン レスポンダーは検証対象の証明書を発行した証明機関 (CA) と同じ CA が発行した署名証明書だけを使用します。このオプションを選択すると、この既定の動作を変更し、オンライン レスポンダーが OCSP 署名 EKU 拡張を含む既存の有効な証明書を使用するように指定できます。
注 Windows Vista Service Pack 1 (SP1) よりも前のバージョンの Windows を実行しているクライアントはこのオプションをサポートしておらず、このオプションをオンにすると、それらのクライアントからの証明書状態要求は失敗します。
次のオンライン レスポンダー ID オプションを使用して、キー ハッシュまたは署名証明書のサブジェクトを応答に含めるかどうかを選択できます。
-
[署名証明書のキー ハッシュ]: 暗号化サービス プロバイダー (CSP) によっては、秘密キーにアクセスするために、署名証明書のキー ハッシュが必要です。
-
[署名証明書のサブジェクト]: CSP によっては、秘密キーにアクセスするために、署名証明書のサブジェクトが必要です。