Certificaten OCSP-antwoord ondertekenen (onlinecertificaatstatusprotocol) moeten worden ondertekend met de certificeringsinstantiesleutel (CA) die ook is gebruikt voor het ondertekenen van de eindentiteitscertificaten waarvan ze de status verstrekken.
Nadat een CA-sleutel is vernieuwd, gebruikt de CA de nieuwe sleutel om nieuwe certificaten te ondertekenen. In de periode tussen het moment waarop een CA-certificaat wordt vernieuwd en de vervaldatum van het originele CA-certificaat, kan de CA geen certificaten OCSP-antwoord ondertekenen uitgeven of vernieuwen, zodat onlineresponders mogelijk geen OCSP-antwoorden kunnen ondertekenen.
U kunt dit probleem verhelpen door Windows Server 2008 R2-CA's en Windows Server 2008-CA's te configureren om het standaardgedrag zodanig aan te passen dat certificaten OCSP-antwoord ondertekenen met een vernieuwde CA-sleutel mogen worden uitgegeven.
U moet een beheerder zijn op de server die als host fungeert voor de CA om deze procedure te kunnen uitvoeren. Zie Op rollen gebaseerd beheer implementeren voor meer informatie over het beheren van een openbare-sleutelinfrastructuur (Public Key Infrastructure of PKI).
Toestaan dat certificaten OCSP-antwoord ondertekenen worden vernieuwd met bestaande CA-sleutels |
Open op de CA-computer een opdrachtprompt en typ:
certutil -setreg ca\UseDefinedCACertInRequest 1
Druk op Enter.
Start de CA-service opnieuw.