Certyfikaty podpisywania odpowiedzi protokołu stanu certyfikatów online (OCSP) muszą być podpisywane przez ten sam klucz urzędu certyfikacji, jakim podpisano końcowe certyfikaty, dla których zapewniono ten stan.
Po odnowieniu klucza urzędu certyfikacji będzie on używał nowego klucza do podpisywania nowo wystawianych certyfikatów. W czasie między odnowieniem certyfikatu urzędu certyfikacji i datą wygaśnięcia oryginalnego certyfikatu urząd certyfikacji nie może wystawiać ani odnawiać certyfikatów podpisywania odpowiedzi protokołu OCSP, co może uniemożliwić obiektowi odpowiadającemu w trybie online podpisywanie odpowiedzi protokołu OCSP.
Aby rozwiązać ten problem, urzędy certyfikacji oparte na systemach Windows Server 2008 R2 i Windows Server 2008 można tak skonfigurować, aby zmienić ich domyślne zachowanie i zezwolić na wystawianie certyfikatów podpisywania odpowiedzi protokołu przy użyciu odnowionego klucza urzędu certyfikacji.
Aby wykonać tę procedurę, użytkownik musi być administratorem serwera obsługującego urząd certyfikacji. Aby uzyskać więcej informacji na temat administrowania infrastrukturą kluczy publicznych (PKI), zobacz Implementowanie administrowania opartego na rolach.
Aby zezwolić certyfikatom podpisywania odpowiedzi protokołu OCSP na odnowienie za pomocą istniejących kluczy urzędu certyfikacji |
Na komputerze urzędu certyfikacji otwórz wiersz polecenia i wpisz:
certutil -setreg ca\UseDefinedCACertInRequest 1
Naciśnij klawisz ENTER.
Uruchom ponownie usługę urzędu certyfikacji.