OCSP 탭에서는 관리자가 그룹 정책을 통해 Active Directory 도메인 구성원에게 배포되는 발급 CA(인증 기관)의 인증서에 OCSP(온라인 인증서 상태 프로토콜) 응답자 URL을 추가할 수 있습니다. 이렇게 하면 조직에서는 해당 CA 인증서나 이전에 CA에서 발급한 인증서를 다시 발급하지 않고도 기존 PKI(공개 키 인프라)에 OCSP 응답자를 추가할 수 있습니다. 이렇게 제공된 OCSP 응답자 URL은 CA에서 발급한 인증서의 인증서 해지 상태를 확인하는 데 사용됩니다.
이 절차를 완료하려면 최소한 Enterprise Admins 그룹의 구성원 자격이 있어야 합니다.
 | CA 인증서에 OCSP 응답자 URL을 추가하려면 |
시작을 클릭하고 실행을 클릭합니다. gpmc.msc를 입력하고 확인을 클릭하여 GPMC(그룹 정책 관리 콘솔)를 엽니다.
콘솔 트리에서 편집할 정책이 포함되어 있는 포리스트와 도메인을 확장하고 그룹 정책 개체를 클릭합니다.
편집하려는 정책을 마우스 오른쪽 단추로 클릭한 다음 편집을 클릭합니다.
콘솔 트리의 컴퓨터 구성 아래에서 정책, Windows 설정, 보안 설정, 공개 키 정책, 중간 인증 기관을 차례로 확장합니다.
CA 인증서가 표시되지 않으면 발급 CA에서 CA 인증서를 내보낸 다음 이를 중간 인증 기관으로 가져옵니다. 자세한 내용은 인증서 내보내기를 참조하십시오.
CA 인증서를 마우스 오른쪽 단추로 클릭하고 속성을 클릭한 다음 OCSP 탭을 클릭합니다.
OCSP 응답자 URL을 입력하고 URL 추가를 클릭합니다.
도메인 구성원이 발급된 인증서에 지정된 CRL 배포 지점 위치에서 CRL을 다운로드하지 못하도록 하려면 CRL(인증서 해지 목록) 사용 안 함 확인란을 선택합니다.
주의 CRL을 사용하지 않도록 설정하는 것은 권장되지 않습니다. OCSP와 CRL의 URL이 모두 제공된 경우 OCSP가 CRL보다 우선합니다. 하지만 해지 확인 프로세스에서는 여러 OCSP 요청보다 단일 CRL을 다운로드하고 캐시하는 것이 더 효율적인 경우를 확인할 수 있습니다.
확인을 클릭하여 변경 내용을 저장합니다.
 | 참고 |
그룹 정책의 변경 내용은 도메인 구성원이 컴퓨터 시작 및 사용자 로그온 과정에서 그룹 정책 새로 고침 간격에 따라 주기적으로 적용합니다. 기본 새로 고침 간격은 90분입니다. 도메인 구성원에서 그룹 정책을 즉시 새로 고치려면 Gpupdate 명령을 실행합니다. |
추가 참조
- 네트워크의 온라인 응답자 서비스 설정(
https://go.microsoft.com/fwlink/?LinkId=143098(페이지는 영문일 수 있음) ) - 인증서 속성 보기