OSCP(온라인 인증서 상태 프로토콜) 응답 서명 인증서는 해당 상태가 제공되는 최종 엔터티 인증서에 서명하는 데 사용된 동일한 CA(인증 기관)에서 서명해야 합니다.

CA 키가 갱신되면 CA는 새 키를 사용하여 새로 발급된 인증서에 서명합니다. CA 인증서가 갱신된 시간과 원본 CA 인증서의 만료 날짜 사이에 CA는 OCSP 응답 서명 인증서를 발급하거나 갱신할 수 없으며 이로 인해 온라인 응답자가 OCSP 응답에 서명하지 못할 수 있습니다.

이 문제를 해결하기 위해 기본 동작을 수정하고 갱신된 CA 키를 사용하여 OCSP 응답 서명 인증서를 발급할 수 있도록 Windows Server 2008 R2 기반 CA 및 Windows Server 2008 기반 CA를 구성할 수 있습니다.

이 절차를 완료하려면 CA를 호스팅하는 서버에 대한 관리자 권한이 있어야 합니다. PKI(공개 키 인프라) 관리에 대한 자세한 내용은 역할 기반 관리 구현을 참조하십시오.

기존 CA 키를 사용하여 OCSP 응답 서명 인증서를 갱신할 수 있게 하려면
  1. CA 컴퓨터에서 명령 프롬프트를 열고 다음을 입력합니다.

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. Enter 키를 누릅니다.

  3. CA 서비스를 다시 시작합니다.


목차