Als een certificaat wordt ingetrokken, verliest het zijn geldigheid als betrouwbare beveiligingsreferentie voordat de geplande geldigheidsduur is verlopen. Een openbare-sleutelinfrastructuur (PKI) is afhankelijk van gedistribueerde controle van beveiligingsdocumenten zonder directe communicatie met de centrale vertrouwde instantie die instaat voor de betrouwbaarheid van de referenties.

Voor een effectieve ondersteuning van het intrekken van certificaten moet de clientcomputer bepalen of het certificaat geldig is of dat het is ingetrokken. Active Directory Certificate Services ondersteunt industriestandaardmethoden voor het intrekken van certificaten, zodat meerdere scenario's kunnen worden ondersteund. Een voorbeeld van een methode is het uitgeven van certificaatintrekkingslijsten (CRL's) en delta-CRL's in verschillende locaties voor toegang door clients, inclusief Active Directory Domain Services, webservers en netwerkbestandsshares. In Windows kunnen intrekkingsgegevens via allerlei instellingen beschikbaar worden gesteld door middel van OCSP-antwoorden (Online Certificate Status Protocol).

Opmerking

CRL's worden periodiek gepubliceerd naar bepaalde netwerklocaties, waar ze kunnen worden gedownload door clientcomputers. OCSP-antwoorden zijn digitaal ondertekende reacties die aangeven of een bepaald certificaat is ingetrokken of onderbroken, of dat de status ervan onbekend is. OCSP-beantwoorders ontvangen gegevens van gepubliceerde certificaatintrekkingslijsten, of ze kunnen rechtstreeks worden bijgewerkt vanuit de certificaatstatusdatabase van een certificeringsinstantie.

Verder kunnen beheerders via Groepsbeleid met openbare sleutels het gebruik van CRL's en OCSP-responders bevorderen, vooral in situaties waar de prestaties onder druk staan door bijzonder grote CRL's of netwerkcondities.

In dit onderwerp komen procedures voor de volgende taken aan bod:

Intrekkingsinstellingen configureren op een lokale computer

Het minimaal vereiste groepslidmaatschap dat vereist is om deze procedure te voltooien, is Administrators.

Intrekkingsinstellingen configureren op een lokale computer
  1. Klik op Start, typ gpedit.msc in het vak Zoeken in programma's en bestanden en druk vervolgens op ENTER.

  2. Klik in de consolestructuur onder Lokaal computerbeleid\Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen op Openbare-sleutelbeleid.

  3. Dubbelklik op Instellingen voor Validering van certificaatpad en klik vervolgens op het tabblad Intrekking.

  4. Schakel het selectievakje Deze beleidsinstellingen vastleggen in, selecteer de beleidsopties die u wilt toepassen, en klik op OK om de nieuwe instellingen toe te passen.

Intrekkingsinstellingen configureren voor een domein

Het minimaal vereiste groepslidmaatschap om deze procedure te voltooien, is Domeinadministrators.

Intrekkingsinstellingen configureren voor een domein
  1. Klik op Start, wijs Systeembeheer aan en klik op Serverbeheer.

  2. Klik onder Onderdelenoverzicht op Onderdelen toevoegen. Schakel het selectievakje Groepsbeleidsbeheer in, klik op Volgende en klik vervolgens op Installeren.

  3. Zodra de pagina Installatieresultaten aangeeft dat de installatie van de GPMC (Group Policy Management Console) is geslaagd, klikt u op Sluiten.

  4. Klik op Start, wijs Systeembeheer aan en klik vervolgens op Groepsbeleidsbeheer.

  5. Dubbelklik in de consolestructuur op Groepsbeleidsobjecten in het forest en domein met het groepsbeleidsobject Standaarddomeinbeleid dat u wilt bewerken.

  6. Klik met de rechtermuisknop op het groepsbeleidsobject Standaarddomeinbeleid en klik vervolgens op Bewerken.

  7. Klik in de consolestructuur onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen op Openbare-sleutelbeleid.

  8. Dubbelklik op Instellingen voor Validering van certificaatpad en klik vervolgens op het tabblad Intrekking.

  9. Schakel het selectievakje Deze beleidsinstellingen vastleggen in, selecteer de beleidsopties die u wilt toepassen, en klik op OK om de nieuwe instellingen toe te passen.

De geldigheidstermijn van CRL- en OCSP-antwoorden voor een lokale computer verlengen

Het minimale groepslidmaatschap dat vereist is om deze procedure uit te voeren, is Administrators.

De geldigheidstermijn van CRL- en OCSP-antwoorden voor een lokale computer verlengen
  1. Klik op Start, typ gpedit.msc in het vak Zoeken in programma's en bestanden en druk vervolgens op ENTER.

  2. Klik in de consolestructuur onder Lokaal computerbeleid\Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen op Openbare-sleutelbeleid.

  3. Klik dubbel op Instellingen voor Validering van certificaatpad en klik vervolgens op het tabblad Intrekking.

  4. Schakel achtereenvolgens de selectievakjes Deze beleidsinstellingen vastleggen en CRL- en OCSP-antwoorden mogen langer geldig zijn dan hun levensduur in.

  5. Geef in het vak Duur waarmee de geldigheidsperiode kan worden uitgebreid de gewenste duur op (in uren) en klik op OK om de nieuwe instellingen toe te passen.

De geldigheidstermijn van CRL- en OCSP-antwoorden voor een domein verlengen

Het minimaal vereiste groepslidmaatschap om deze procedure te voltooien, is Domeinadministrators.

De geldigheidstermijn van CRL- en OCSP-antwoorden voor een domein verlengen
  1. Klik op Start, wijs Systeembeheer aan en klik op Serverbeheer.

  2. Klik onder Onderdelenoverzicht op Onderdelen toevoegen. Schakel het selectievakje Groepsbeleidsbeheer in, klik op Volgende en klik vervolgens op Installeren.

  3. Zodra de pagina Installatieresultaten aangeeft dat de installatie van de GPMC (Group Policy Management Console) is geslaagd, klikt u op Sluiten.

  4. Klik op Start, wijs Systeembeheer aan en klik vervolgens op Groepsbeleidsbeheer.

  5. Dubbelklik in de consolestructuur op Groepsbeleidsobjecten in het forest en domein met het groepsbeleidsobject Standaarddomeinbeleid dat u wilt bewerken.

  6. Klik met de rechtermuisknop op het groepsbeleidsobject Standaarddomeinbeleid en klik vervolgens op Bewerken.

  7. Klik in de consolestructuur onder Computerconfiguratie\Windows-instellingen\Beveiligingsinstellingen op Openbare-sleutelbeleid.

  8. Dubbelklik op Instellingen voor Validering van certificaatpad en klik vervolgens op het tabblad Intrekking.

  9. Schakel achtereenvolgens de selectievakjes Deze beleidsinstellingen vastleggen en CRL- en OCSP-antwoorden mogen langer geldig zijn dan hun levensduur in.

  10. Geef in het vak Duur waarmee de geldigheidsperiode kan worden uitgebreid de gewenste duur op (in uren) en klik op OK om de nieuwe instellingen toe te passen.

Aanvullende naslaginformatie


Inhoudsopgave