Karta Podpisywanie na stronie Właściwości obiektu odpowiadającego w trybie online zawiera algorytm wyznaczania wartości skrótu, który jest pomocny przy weryfikowaniu operacji podpisywania odpowiedzi obiektu odpowiadającego w trybie online wysyłanych do klientów.
Można konfigurować następujące opcje podpisywania:
-
Nie monituj o poświadczenia dla operacji kryptograficznych. Jeśli klucz podpisywania jest silnie chroniony przez dodatkowe hasła, wybranie tej opcji oznacza, że obiekt odpowiadający w trybie online nie będzie monitował użytkownika o hasło i nie będą przy tym wyświetlane żadne komunikaty.
Uwaga Jeśli do ochrony prywatnych kluczy są używane sprzętowe moduły zabezpieczeń, nie należy wybierać tej opcji.
-
Automatycznie używaj odnowionych certyfikatów podpisywania. Powoduje, że obiekt odpowiadający w trybie online automatycznie używa odnowionych certyfikatów podpisu bez proszenia administratora obiektów odpowiadających w trybie online o ich ręczne przypisywanie.
-
Włącz obsługę rozszerzenia NONCE. Powoduje, że obiekt odpowiadający w trybie online sprawdza żądania i procesy protokołu stanu certyfikatów online (OCSP) zawierające rozszerzenie nonce. Jeśli rozszerzenie nonce jest zawarte w żądaniu protokołu OCSP i ta opcja jest zaznaczona, obiekt odpowiadający w trybie online będzie ignorował buforowane odpowiedzi protokołu OCSP i tworzył nową odpowiedź zawierającą rozszerzenie nonce zawarte w żądaniu. Jeśli ta opcja jest wyłączona i żądanie zawiera otrzymane rozszerzenie nonce, obiekt odpowiadający w trybie online będzie odrzucał żądania z błędem „bez autoryzacji”.
Uwaga Klient protokołu OCSP nie obsługuje rozszerzenia nonce.
-
Użyj dowolnego prawidłowego certyfikatu podpisywania protokołu OCSP. Domyślnie obiekt odpowiadający w trybie online będzie używał tylko certyfikatów podpisywania wystawionych przez ten sam urząd certyfikacji, który wystawił sprawdzany certyfikat. Ta opcja pozwala zmodyfikować domyślne zachowanie i powoduje, że obiekt odpowiadający w trybie online będzie używał każdego istniejącego weryfikowanego certyfikatu, który zawiera rozszerzenie EKU podpisywania protokołu OCSP.
Uwaga Komputery klienckie z wersjami systemu Windows starszymi niż Windows Vista z dodatkiem Service Pack 1 (SP1) nie obsługują tej opcji, a żądania informacji o stanie certyfikatu pochodzące od tych klientów zakończą się niepowodzeniem w przypadku wybrania tej opcji.
Poniżej przedstawiono opcje identyfikatorów obiektu odpowiadającego w trybie online, za pomocą których można określić, czy w odpowiedzi ma się znaleźć skrót klucza lub podmiot certyfikatu podpisu:
-
Skrót klucza certyfikatu podpisywania. Niektórzy dostawcy usług kryptograficznych wymagają skrótu klucza certyfikatu podpisywania, aby uzyskać dostęp do prywatnych kluczy.
-
Podmiot certyfikatu podpisywania. Niektórzy dostawcy usług kryptograficznych wymagają podmiotu certyfikatu podpisywania, aby uzyskać dostęp do prywatnych kluczy.