Odwołanie certyfikatu powoduje jego unieważnienie jako zaufanego poświadczenia tożsamości przed zaplanowanym wygaśnięciem okresu ważności. Infrastruktura kluczy publicznych jest zależna od rozproszonej weryfikacji poświadczeń, w której nie ma potrzeby bezpośredniego komunikowania się z centralną jednostką zaufaną poręczającą te poświadczenia.
Aby obsługa odwołań certyfikatów była skuteczna, komputer kliencki musi mieć możliwość stwierdzenia, czy dany certyfikat jest ważny, czy też został odwołany. W celu uwzględnienia różnych scenariuszy Usługi certyfikatów w usłudze Active Directory obsługują standardowe, przyjęte w branży metody odwoływania certyfikatów. Jedną z takich metod jest publikowanie list odwołania certyfikatów (CRL) i różnicowych list CRL w kilku lokalizacjach, do których mają dostęp klienci, na przykład w Usługach domenowych w usłudze Active Directory, na serwerach sieci Web i w plikach udostępnionych w sieci. W systemie Windows dane odwołania mogą być również dostępne w wielu ustawieniach dzięki odpowiedziom protokołu stanu certyfikatu online (OCSP).
Uwaga | |
Listy CRL są publikowane w regularnych odstępach czasu w określonych lokalizacjach sieciowych, skąd mogą być pobierane przez komputery klienckie. Odpowiedzi protokołu OCSP to cyfrowo podpisane odpowiedzi informujące, że dany certyfikat został odwołany lub zawieszony albo że jego stan jest nieznany. Obiekty odpowiadające OCSP otrzymują dane z opublikowanych list odwołania certyfikatów lub mogą być aktualizowane bezpośrednio z bazy danych stanu certyfikatów urzędu certyfikacji. |
Ponadto zasady grupy klucza publicznego umożliwiają administratorom ulepszanie użycia list CRL oraz obiektów odpowiadających OCSP, szczególnie w sytuacjach, gdy niezwykle długie listy CRL lub warunki panujące w sieci powodują zakłócenia wydajności.
Niniejszy temat obejmuje procedury dotyczące następujących zadań:
Konfigurowanie ustawień odwoływania na komputerze lokalnym
Do wykonania tej procedury jest wymagana przynależność co najmniej do grupy Administratorzy.
Aby skonfigurować ustawienia odwoływania na komputerze lokalnym |
Kliknij przycisk Start, w polu Wyszukaj programy i pliki wpisz polecenie gpedit.msc, a następnie naciśnij klawisz ENTER.
W drzewie konsoli w węźle Lokalne zasady komputera\Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń kliknij pozycję Zasady kluczy publicznych.
Kliknij dwukrotnie pozycję Ustawienia sprawdzania poprawności ścieżki certyfikatu, a następnie kliknij kartę Odwoływanie.
Zaznacz pole wyboru Definiuj następujące ustawienia zasad, zaznacz ustawienia zasad, które chcesz zastosować, a następnie kliknij przycisk OK, aby zastosować nowe ustawienia.
Konfigurowanie ustawień odwoływania dla domeny
Do wykonania tej procedury jest wymagana przynależność co najmniej do grupy Administratorzy domeny.
Aby skonfigurować ustawienia odwoływania dla domeny |
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer serwera.
W obszarze Podsumowanie funkcji kliknij łącze Dodaj funkcje. Zaznacz pole wyboru Zarządzanie zasadami grupy, kliknij przycisk Dalej, a następnie kliknij przycisk Zainstaluj.
Gdy na stronie Wyniki instalacji zostanie wyświetlona informacja, że Konsola zarządzania zasadami grupy (GPMC) została zainstalowana pomyślnie, kliknij przycisk Zamknij.
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zarządzanie zasadami grupy.
W drzewie konsoli kliknij dwukrotnie węzeł Obiekty zasad grupy w lesie i domenę zawierającą obiekt zasad grupy (GPO) Domyślne zasady domeny, który chcesz edytować.
Kliknij prawym przyciskiem myszy obiekt zasad grupy Domyślne zasady domeny, a następnie kliknij polecenie Edytuj.
W drzewie konsoli w węźle Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń kliknij pozycję Zasady kluczy publicznych.
Kliknij dwukrotnie pozycję Ustawienia sprawdzania poprawności ścieżki certyfikatu, a następnie kliknij kartę Odwoływanie.
Zaznacz pole wyboru Definiuj następujące ustawienia zasad, zaznacz ustawienia zasad, które chcesz zastosować, a następnie kliknij przycisk OK, aby zastosować nowe ustawienia.
Przedłużanie okresu ważności list CRL i odpowiedzi protokołu OCSP dla komputera lokalnego
Do wykonania tej procedury jest wymagana przynależność co najmniej do grupy Administratorzy.
Aby przedłużyć okres ważności list CRL i odpowiedzi protokołu OCSP dla komputera lokalnego |
Kliknij przycisk Start, w polu Wyszukaj programy i pliki wpisz polecenie gpedit.msc, a następnie naciśnij klawisz ENTER.
W drzewie konsoli w węźle Lokalne zasady komputera\Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń kliknij pozycję Zasady kluczy publicznych.
Kliknij dwukrotnie pozycję Ustawienia sprawdzania poprawności ścieżki certyfikatu, a następnie kliknij kartę Odwoływanie.
Zaznacz pole wyboru Definiuj następujące ustawienia zasad, a następnie zaznacz pole wyboru Zezwalaj, aby listy CRL i odpowiedzi protokołu OCSP były ważne dłużej niż ich okres istnienia.
W polu Czas, o jaki okres ważności może zostać przedłużony wprowadź wartość czasu (w godzinach), a następnie kliknij przycisk OK, aby zastosować nowe ustawienia.
Przedłużanie okresu ważności list CRL i odpowiedzi protokołu OCSP dla domeny
Do wykonania tej procedury jest wymagana przynależność co najmniej do grupy Administratorzy domeny.
Aby przedłużyć okres ważności list CRL i odpowiedzi protokołu OCSP dla domeny |
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Menedżer serwera.
W obszarze Podsumowanie funkcji kliknij łącze Dodaj funkcje. Zaznacz pole wyboru Zarządzanie zasadami grupy, kliknij przycisk Dalej, a następnie kliknij przycisk Zainstaluj.
Gdy na stronie Wyniki instalacji zostanie wyświetlona informacja, że Konsola zarządzania zasadami grupy została zainstalowana pomyślnie, kliknij przycisk Zamknij.
Kliknij przycisk Start, wskaż polecenie Narzędzia administracyjne, a następnie kliknij polecenie Zarządzanie zasadami grupy.
W drzewie konsoli kliknij dwukrotnie węzeł Obiekty zasad grupy w lesie i domenę zawierającą obiekt GPO Domyślne zasady domeny, który chcesz edytować.
Kliknij prawym przyciskiem myszy obiekt zasad grupy Domyślne zasady domeny, a następnie kliknij polecenie Edytuj.
W drzewie konsoli w węźle Konfiguracja komputera\Ustawienia systemu Windows\Ustawienia zabezpieczeń kliknij pozycję Zasady kluczy publicznych.
Kliknij dwukrotnie pozycję Ustawienia sprawdzania poprawności ścieżki certyfikatu, a następnie kliknij kartę Odwoływanie.
Zaznacz pole wyboru Definiuj następujące ustawienia zasad, a następnie zaznacz pole wyboru Zezwalaj, aby listy CRL i odpowiedzi protokołu OCSP były ważne dłużej niż ich okres istnienia.
W polu Czas, o jaki okres ważności może zostać przedłużony wprowadź wartość czasu (w godzinach), a następnie kliknij przycisk OK, aby zastosować nowe ustawienia.
Dodatkowe informacje