Voor een juiste werking moet een onlineresponder een geldig certificaat OCSP-antwoord ondertekenen (onlinecertificaatstatusprotocol) hebben. Dit certificaat OCSP-antwoord ondertekenen is ook nodig als u een OCSP-beantwoorder gebruikt die niet van Microsoft is.

Voor het zodanig configureren van een certificeringsinstantie (CA) dat deze OCSP-beantwoorderservices ondersteunt, moet u de volgende stappen uitvoeren:

  1. Configureer certificaatsjablonen en uitgifte-eigenschappen voor certificaten OCSP-antwoord ondertekenen.

  2. Configureer inschrijvingsmachtigingen voor computers die als host gaan fungeren voor onlineresponders.

  3. Als dit een Windows Server 2003-CA is, schakelt u de OCSP-uitbreiding in uitgegeven certificaten in.

  4. Voeg de locatie van de onlineresponder of OCSP-beantwoorder toe aan de uitbreiding voor toegang tot CA-gegevens op de CA.

  5. Schakel de certificaatsjabloon OCSP-antwoord ondertekenen in voor de CA.

De certificaatsjabloon die wordt gebruikt om een certificaat OCSP-antwoord ondertekenen uit te geven, moet een uitbreiding bevatten met de naam 'OCSP - geen controle op intrekken' en het toepassingsbeleid Ondertekening van OCSP. Er moeten ook machtigingen worden geconfigureerd om de computer die als host gaat fungeren voor de onlineresponder, toe te staan zich in te schrijven voor dit certificaat.

De volgende procedure is voor een CA die is geïnstalleerd op een computer waarop Windows Server 2008 R2 of Windows Server 2008 wordt uitgevoerd.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domeinadministrators, Ondernemingsadministrators of een vergelijkbare groep. Zie Op rollen gebaseerd beheer implementeren voor meer informatie over het beheren van een openbare-sleutelinfrastructuur (Public Key Infrastructure of PKI).

De certificaatsjabloon configureren voor een certificaat OCSP-antwoord ondertekenen dat is uitgegeven door een Windows Server 2008 R2-CA of een Windows Server 2008-CA
  1. Open de module Certificaatsjablonen.

    Opmerking

    Als u deze procedure voltooit op een computer waarop geen CA of onlineresponder is geïnstalleerd, moet u mogelijk de externe-serverbeheerprogramma's voor Active Directory Certificate Services (AD CS) installeren om de module Certificaatsjablonen te kunnen gebruiken. Zie Een onlineresponder beheren vanaf een andere computer voor meer informatie over de externe-serverbeheerprogramma's.

  2. Klik met de rechtermuisknop op de sjabloon OCSP-antwoord ondertekenen en klik vervolgens op Eigenschappen.

  3. Klik op de tab Beveiliging. Klik op Toevoegen bij Namen van groepen of gebruikers.

  4. Klik op Objecttypen, schakel het selectievakje Computers in en klik op OK.

  5. Typ de naam van de computer die als host fungeert voor de onlineresponder of OCSP-beantwoorderservices of blader hierheen om deze te selecteren, en klik op OK.

  6. Klik in het dialoogvenster Namen van groepen of gebruikers op de computernaam en schakel in het dialoogvenster Machtigingen de selectievakjes Lezen en Inschrijven in. Klik vervolgens op OK.

De volgende procedure is voor een CA die is geïnstalleerd op een computer waarop Windows Server 2003 wordt uitgevoerd. De procedure moet worden voltooid op een computer waarop Windows Server 2008 R2 of Windows Server 2008 wordt uitgevoerd.

Als u deze procedure wilt uitvoeren, moet u minimaal lid zijn van de groep Domeinadministrators, Ondernemingsadministrators of een vergelijkbare groep. Zie Op rollen gebaseerd beheer implementeren voor meer informatie over het beheren van een PKI.

De certificaatsjabloon configureren voor een certificaat OCSP-antwoord ondertekenen dat is uitgegeven door een Windows Server 2003-CA
  1. Open de module Certificaatsjablonen.

  2. Klik met de rechtermuisknop op de sjabloon OCSP-antwoord ondertekenen en klik vervolgens op Dupliceren. Klik op Windows 2003 Server, Enterprise Edition en klik op OK.

  3. Klik op de tab Beveiliging. Klik op Toevoegen bij Naam van groep of gebruiker en typ de naam van de computer die als host fungeert voor de onlineresponder of OCSP-beantwoorderservices of blader hierheen om deze te selecteren.

  4. Klik op Objecttypen, schakel het selectievakje Computers in en klik op OK.

  5. Typ de naam van de computer die als host voor de onlineresponder of OCSP-beantwoorderservices fungeert of zoek en selecteer deze computernaam, en klik op OK.

  6. Klik in het dialoogvenster Namen van groepen of gebruikers op de computernaam en schakel in het dialoogvenster Machtigingen de selectievakjes Lezen en Inschrijven in.

Opmerking

De standaardcertificaatsjabloon OCSP-antwoord ondertekenen bevat een extensie met de naam 'OCSP - geen controle op intrekken'. Verwijder deze extensie niet, die door veel clients wordt gebruikt om te controleren of antwoorden die zijn ondertekend met het handtekeningcertificaat geldig zijn.

Als de CA is geïnstalleerd op een computer waarop Windows Server 2003 wordt uitgevoerd, moet u de volgende procedure voltooien om de beleidsmodule op de CA zodanig te configureren dat er certificaten kunnen worden uitgegeven met deze extensie.

U moet lid zijn van de lokale groep Administrators voor het uitvoeren van deze procedure. Zie Op rollen gebaseerd beheer implementeren voor meer informatie over het beheren van een PKI.

Een computer waarop Windows Server 2003 wordt uitgevoerd zodanig voorbereiden dat deze certificaten OCSP-antwoord ondertekenen kan uitgeven
  1. Open op de server die als host fungeert voor de CA een opdrachtprompt en typ:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
  2. Stop de CA en start deze opnieuw. U kunt dit doen door na een opdrachtprompt de volgende opdrachten uit te voeren:

    net stop certsvc
    net start certsvc

Als u de CA wilt configureren voor OCSP, moet u de module Certificeringsinstantie gebruiken om de volgende CA-configuratiestappen te voltooien:

  • Voeg de locatie van de onlineresponder of OCSP-beantwoorder toe aan de uitbreiding voor toegang tot CA-gegevens.

  • Schakel de certificaatsjabloon in voor de CA.

U moet een CA-beheerder zijn als u deze procedure wilt voltooien. Zie Op rollen gebaseerd beheer implementeren voor meer informatie over het beheren van een PKI.

Een CA zodanig configureren dat deze een onlineresponder of OCSP-beantwoorderservices ondersteunt
  1. Open de module Certificeringsinstantie.

  2. Klik op de naam van de CA in de consolestructuur.

  3. Klik op Eigenschappen in het menu Actie.

  4. Klik op de tab Extensies.

  5. Klik in de lijst Selecteer een extensie op Toegang tot CA-gegevens (AIA) en klik op Toevoegen.

  6. Geef de locaties op vanaf welke gebruikers certificaatintrekkingsgegevens kunnen verkrijgen, bijvoorbeeld http://computernaam/ocsp.

  7. Schakel het selectievakje In de uitbreiding voor onlinecertificaatstatusprotocol (OCSP) opnemen in.

  8. Klik in de consolestructuur van de module Certificeringsinstantie met de rechtermuisknop op Certificaatsjablonen en klik op Te verlenen nieuwe certificaatsjablonen.

  9. Selecteer bij Certificaatsjablonen inschakelen de sjabloon OCSP-antwoord ondertekenen en eventuele andere certificaatsjablonen die u eerder hebt geconfigureerd en klik op OK.

  10. Dubbelklik op Certificaatsjablonen en controleer of de aangepaste certificaatsjablonen worden weergegeven in de lijst.


Inhoudsopgave