Når et sertifikat tilbakekalles, kasseres sertifikatet som en klarert sikkerhetslegitimasjon før den planlagte utløpsdatoen i gyldighetsperioden. En infrastruktur for fellesnøkkel (PKI - Public Key Infrastructure) avhenger av en distribuert verifisering av legitimasjon hvor det ikke er behov for direkte kommunikasjon med den sentrale, klarerte enheten som går god for legitimasjonen.
Hvis klientdatamaskinen skal støtte sertifikatopphevelse effektivt, må den ha mulighet til å fastsette om legitimasjonen er gyldig eller opphevet. Active Directory-sertifikattjenester støtter flere forskjellige scenarioer ved å støtte bransjens standardmetoder for sertifikatopphevelse. Disse metodene omfatter publisering av CRLer (Certificate Revocation Lists - sertifikatopphevelseslister) og delta-CRLer til flere plasseringer som klientene kan nå, inkludert Active Directory-domenetjenester, webservere og filressurser på nettverket. I Windows kan opphevelsesdata også gjøres tilgjengelig i forskjellige innstillinger gjennom OCSP-svar (Online Certificate Status Protocol).
Obs! | |
CRLer publiseres jevnlig til bestemte nettverksplasseringer hvor de kan lastes ned av klientdatamaskiner. OCSP-svar er digitalt signerte svar som angir om et enkeltsertifikat har blitt opphevet eller suspendert, eller om statusen er ukjent. OCSP-respondenter får data fra publiserte CRLer, eller de kan oppdateres direkte fra sertifikatstatusdatabasen til en sertifiseringsinstans. |
I tillegg kan administratorer bruke gruppepolicy for fellesnøkler til å forsterke bruken av CRL og OCSP-respondere, spesielt i situasjoner hvor svært store CRLer eller nettverksbetingelser gir dårlig ytelse.
Dette emnet inneholder prosedyrer for de følgende oppgavene:
Konfigurere innstillinger for opphevelse på en lokal datamaskin
Medlemskap i gruppen Administratorer er minstekrav for å kunne fullføre denne prosedyren.
Slik konfigurerer du innstillinger for opphevelse på en lokal datamaskin |
Klikk Start, skriv inn gpedit.msc i Søk i programmer og filer-boksen, og trykk deretter ENTER.
Klikk Policyer for fellesnøkkel i konsolltreet under Lokal datamaskinpolicy\Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger.
Dobbeltklikk Valideringsinnstillinger for sertifikatbane, og klikk deretter kategorien Opphevelse.
Merk av for Definer disse policyinnstillingene, velg policyinnstillingene du vil bruke, og klikk deretter OK for å bruke de nye innstillingene.
Konfigurere innstillinger for opphevelse for et domene
Medlemskap i gruppen Domeneadministratorer er minstekrav for å kunne fullføre denne prosedyren.
Slik konfigurerer du innstillinger for opphevelse for et domene |
Klikk Start, velg Administrative verktøy, og klikk Serveradministrasjon.
Klikk Legg til funksjoner under Funksjonssammendrag. Merk av for Gruppepolicybehandling, klikk Neste, og klikk deretter Installer.
Klikk Lukk etter at du har bekreftet at installasjon av konsollen for gruppepolicybehandling var vellykket, på siden med Installasjonsresultater.
Klikk Start, velg Administrative verktøy, og klikk deretter Gruppepolicybehandling.
Dobbeltklikk Gruppepolicyobjekter i konsolltreet i skogen og domenet som inneholder Standard domenepolicy-gruppepolicyobjektet (GPO) du vil redigere.
Høyreklikk Standard domenepolicy-gruppepolicyobjektet, og klikk deretter Rediger.
Klikk Policyer for fellesnøkkel i konsolltreet under Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger.
Dobbeltklikk Valideringsinnstillinger for sertifikatbane, og klikk deretter kategorien Opphevelse.
Merk av for Definer disse policyinnstillingene, velg policyinnstillingene du vil bruke, og klikk deretter OK for å bruke de nye innstillingene.
Utvide gyldighetsperioden for CRL- og OCSP-svar for en lokal datamaskin
Medlemskap i gruppen Administratorer er minstekrav for å kunne fullføre denne prosedyren.
Slik utvider du gyldighetsperioden for CRL- og SCSP-svar for en lokal datamaskin |
Klikk Start, skriv inn gpedit.msc i Søk i programmer og filer-boksen, og trykk deretter ENTER.
Klikk Policyer for fellesnøkkel i konsolltreet under Lokal datamaskinpolicy\Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger.
Dobbeltklikk Valideringsinnstillinger for sertifikatbane, og klikk deretter kategorien Opphevelse.
Merk av for Definer disse policyinnstillingene, og merk deretter av for Tillat at CRL- og OCSP-svar har lengre gyldighet enn levetiden.
Skriv inn ønsket tidsverdi (i timer) i boksen Standardtid som valideringsperioden kan forlenges med, og klikk deretter OK for at de nye innstillingene skal tre i kraft.
Utvide gyldighetsperioden for CRL- og OCSP-svar for et domene
Medlemskap i gruppen Domeneadministratorer er minstekrav for å kunne fullføre denne prosedyren.
Slik utvider du gyldighetsperioden for CRL- og SCSP-svar for et domene |
Klikk Start, velg Administrative verktøy, og klikk Serveradministrasjon.
Klikk Legg til funksjoner under Funksjonssammendrag. Merk av for Gruppepolicybehandling, klikk Neste, og klikk deretter Installer.
Klikk Lukk etter at du har bekreftet at installasjon av konsollen for gruppepolicybehandling var vellykket, på siden med Installasjonsresultater.
Klikk Start, velg Administrative verktøy, og klikk deretter Gruppepolicybehandling.
Dobbeltklikk Gruppepolicyobjekter i konsolltreet i skogen og domenet som inneholder Standard domenepolicy-gruppepolicyobjektet (GPO) du vil redigere.
Høyreklikk Standard domenepolicy-gruppepolicyobjektet, og klikk deretter Rediger.
Klikk Policyer for fellesnøkkel i konsolltreet under Datamaskinkonfigurasjon\Windows-innstillinger\Sikkerhetsinnstillinger.
Dobbeltklikk Valideringsinnstillinger for sertifikatbane, og klikk deretter kategorien Opphevelse.
Merk av for Definer disse policyinnstillingene, og merk deretter av for Tillat at CRL- og OCSP-svar har lengre gyldighet enn levetiden.
Skriv inn ønsket tidsverdi (i timer) i boksen Standardtid som valideringsperioden kan forlenges med, og klikk deretter OK for at de nye innstillingene skal tre i kraft.
Flere referanser