Op het tabblad Ondertekening van de pagina Eigenschappen van onlineresponder wordt het hashalgoritme weergegeven dat wordt gebruikt om te helpen bij het controleren van ondertekeningsbewerkingen voor antwoorden van onlineresponders aan clients.
U kunt de volgende ondertekeningsopties configureren:
-
Niet vragen om referenties voor cryptografiebewerkingen. Als de ondertekeningssleutel sterk wordt beveiligd door een extra wachtwoord, wordt de gebruiker niet om het wachtwoord gevraagd en mislukt de onlineresponder zonder foutmelding als u deze optie selecteert.
Opmerking Selecteer deze optie niet als er een HSM (Hardware Security Module) wordt gebruikt om persoonlijke sleutels te beveiligen.
-
Automatisch vernieuwde handtekeningcertificaten gebruiken . Hiermee stelt u in dat de onlineresponder automatisch vernieuwde handtekeningcertificaten moet gebruiken zonder de onlineresponderbeheerder te vragen deze handmatig toe te wijzen.
-
Ondersteuning voor NONCE-extensie inschakelen. Hiermee stelt u in dat de onlineresponder een OCSP-aanvraag (onlinecertificaatstatusprotocol) die een nonce-extensie bevat, moet controleren en verwerken. Als er een nonce-extensie is opgenomen in de OCSP-aanvraag en deze optie is geselecteerd, negeert de onlineresponder in de cache opgeslagen OCSP-antwoorden en maakt deze een nieuw antwoord dat de nonce bevat die wordt genoemd in de aanvraag. Als deze optie is uitgeschakeld en er een aanvraag wordt ontvangen die een nonce-extensie bevat, weigert de onlineresponder de aanvraag met de fout 'niet-geautoriseerd'.
Opmerking De Microsoft OCSP-client ondersteunt de nonce-extensie niet.
-
Een geldig OCSP-handtekeningcertificaat gebruiken. De onlineresponder gebruikt standaard alleen handtekeningcertificaten die zijn uitgegeven door de certificeringsinstantie die ook het te valideren certificaat heeft uitgegeven. Met deze optie kunt u het standaardgedrag aanpassen en stelt u in dat de onlineresponder geldige bestaande certificaten gebruikt die de EKU-extensie voor OCSP-ondertekening bevatten.
Opmerking Deze optie wordt niet ondersteund door clients met Windows-versies die ouder zijn dan Windows Vista met Service Pack 1 (SP1), en certificaatstatusaanvragen van deze clients mislukken dan ook als deze optie is geselecteerd.
U kunt de volgende opties voor onlineresponder-id's gebruiken om te selecteren of u de sleutelhash of het onderwerp van het handtekeningcertificaat wilt opnemen in het antwoord:
-
Sleutelhash van handtekeningcertificaat. Voor sommige cryptografische serviceproviders (CSP's) is de sleutelhash van het handtekeningcertificaat vereist om toegang te krijgen tot persoonlijke sleutels.
-
Houder van handtekeningcertificaat. Voor sommige CSP's is de houder van het handtekeningcertificaat vereist om toegang te krijgen tot persoonlijke sleutels.