Karta OCSP jest używana przez administratorów w celu dodawania adresów URL obiektów odpowiadających protokołu OCSP (Online Certificate Status Protocol) do certyfikatów wydanych przez wystawiający urząd certyfikacji, które są rozpowszechniane przez zasady grupy wśród elementów członkowskich domeny usługi Active Directory. Umożliwia to organizacjom dodawanie obiektów odpowiadających OCSP do istniejącej infrastruktury kluczy publicznych (PKI) bez ponownego wydawania certyfikatu urzędu certyfikacji i bez żadnych certyfikatów wydanych wcześniej przez urząd certyfikacji. Podane w ten sposób adresy URL obiektów odpowiadających OCSP są używane do weryfikowania stanu odwołania certyfikatów wydanych przez urząd certyfikacji.

Do wykonania tej procedury jest wymagana przynależność co najmniej do grupy Administratorzy przedsiębiorstwa.

Aby dodać adres URL obiektu odpowiadającego OCSP do certyfikatu urzędu certyfikacji
  1. Kliknij przycisk Start, a następnie kliknij polecenie Uruchom. Wpisz polecenie gpmc.msc, a następnie kliknij przycisk OK w celu otwarcia Konsoli zarządzania zasadami grupy.

  2. W drzewie konsoli rozwiń las i domenę zawierające zasadę, którą chcesz edytować, a następnie kliknij opcję Obiekty zasad grupy.

  3. Kliknij prawym przyciskiem myszy zasadę, którą chcesz edytować, a następnie kliknij polecenie Edytuj.

  4. W obszarze Konfiguracja komputera w drzewie konsoli rozwiń węzły Zasady, Ustawienia systemu Windows, Ustawienia zabezpieczeń, Zasady kluczy publicznych oraz Pośrednie urzędy certyfikacji.

  5. Jeśli nie są wyświetlane żadne certyfikaty urzędu certyfikacji, wyeksportuj certyfikat wystawiającego urzędu certyfikacji, a następnie zaimportuj certyfikat do magazynu Pośrednie urzędy certyfikacji. Zobacz temat Eksportowanie certyfikatu.

  6. Kliknij prawym przyciskiem myszy certyfikat urzędu certyfikacji, kliknij polecenie Właściwości, a następnie kliknij kartę OCSP.

  7. Wpisz adres URL obiektu odpowiadającego OCSP, a następnie kliknij polecenie Dodaj adres URL.

  8. Aby uniemożliwić elementom członkowskim domeny pobieranie listy CRL z lokalizacji punktów dystrybucji list CRL określonych w wydanych certyfikatach, zaznacz pole wyboru Wyłącz listy odwołania certyfikatów (CRL).

    Przestroga

    Wyłączanie listy CRL nie jest zalecane. Protokół OCSP ma pierwszeństwo względem list CRL, gdy dla obydwu przypadków podano adresy URL. Proces sprawdzania odwołania określa jednak, kiedy pobieranie i buforowanie pojedynczej listy CRL jest wydajniejsze w porównaniu z wieloma żądaniami OCSP.

  9. Kliknij przycisk OK, aby zapisać zmiany.

Uwaga

Zmiany zasad grupy są okresowo stosowane przez elementy członkowskie domeny na podstawie interwału odświeżania zasad grupy, podczas uruchamiania komputera i podczas logowania użytkownika. Domyślny interwał odświeżania wynosi 90 minut. Aby natychmiast odświeżyć zasady grupy w elemencie członkowskim domeny, należy uruchomić polecenie Gpupdate.

Dodatkowe informacje


Spis treści