Aby obiekt odpowiadający w trybie online działał poprawnie, musi mieć prawidłowy certyfikat podpisywania odpowiedzi protokołu OCSP (Protokołu stanu certyfikatu online, Online Certificate Status Protocol). Certyfikat podpisywania odpowiedzi protokołu OCSP jest też potrzebny, jeśli jest używany obiekt odpowiadający protokołu OCSP producenta innego niż firma Microsoft.

Aby skonfigurować urząd certyfikacji do obsługi usług obiektów odpowiadających protokołu OCSP, wykonaj następujące kroki:

  1. Skonfiguruj szablony certyfikatów i właściwości wystawiania dla certyfikatów podpisywania odpowiedzi protokołu OCSP.

  2. Skonfiguruj uprawnienia rejestrowania dla wszystkich komputerów, na których mają działać obiekty odpowiadające w trybie online.

  3. Jeśli urząd certyfikacji jest oparty na systemie Windows Server 2003, włącz rozszerzenie protokołu OCSP w wystawianych certyfikatach.

  4. Dodaj lokalizację obiektu odpowiadającego w trybie online lub obiektu odpowiadającego protokołu OCSP do rozszerzenia dostępu do informacji o urzędach w urzędzie certyfikacji.

  5. Włącz szablon certyfikatu podpisywania odpowiedzi protokołu OCSP dla urzędu certyfikacji.

Szablon certyfikatu używany do wystawiania certyfikatów podpisywania odpowiedzi protokołu OCSP musi zawierać rozszerzenie „Protokół OCSP bez sprawdzania odwołania” oraz zasady aplikacji podpisywania protokołu OCSP. Należy również skonfigurować uprawnienia zezwalające komputerowi, na którym będzie działać obiekt odpowiadający w trybie online, na zarejestrowanie tego certyfikatu.

Poniżej przedstawiono procedurę przeznaczoną do stosowania w przypadku urzędu certyfikacji zainstalowanego na komputerze z systemem Windows Server 2008 R2 lub Windows Server 2008.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub Administratorzy przedsiębiorstwa albo równoważnej. Aby uzyskać więcej informacji na temat administrowania infrastrukturą kluczy publicznych (PKI), zobacz Implementowanie administrowania opartego na rolach.

Aby skonfigurować szablon certyfikatu dla certyfikatu podpisywania odpowiedzi protokołu OCSP wystawianego przez urząd certyfikacji oparty na systemie Windows Server 2008 R2 lub Windows Server 2008
  1. Otwórz przystawkę Szablony certyfikatów.

    Uwaga

    Jeśli ta procedura jest wykonywana na komputerze, na którym nie jest zainstalowany urząd certyfikacji ani obiekt odpowiadający w trybie online, może być konieczne zainstalowanie narzędzi administracji zdalnej serwera Usług certyfikatów w usłudze Active Directory (AD CS, Active Directory Certificate Services) w celu umożliwienia korzystania z przystawki Szablony certyfikatów. Aby uzyskać więcej informacji na temat narzędzi administracji zdalnej serwera, zobacz Administrowanie obiektem odpowiadającym w trybie online z innego komputera.

  2. Kliknij prawym przyciskiem myszy szablon Podpisywanie odpowiedzi protokołu OCSP, a następnie kliknij polecenie Właściwości.

  3. Kliknij kartę Zabezpieczenia. W obszarze Nazwa grupy lub użytkownika, kliknij opcję Dodaj.

  4. Kliknij opcję Typy obiektów, zaznacz pole wyboru Komputery, a następnie kliknij przycisk OK.

  5. Wpisz nazwę komputera lub znajdź i wybierz komputer, na którym ma działać usługa obiektu odpowiadającego w trybie online lub obiektu odpowiadającego protokołu OCSP, a następnie kliknij przycisk OK.

  6. W oknie dialogowym Nazwy grupy lub użytkownika kliknij nazwę komputera, a następnie w oknie dialogowym Uprawnienia zaznacz pola wyboru Odczyt i Rejestrowanie się. Następnie kliknij przycisk OK.

Poniżej przedstawiono procedurę przeznaczoną do stosowania w przypadku urzędu certyfikacji zainstalowanego na komputerze z systemem Windows Server 2003. Tę procedurę należy wykonać na komputerze z systemem Windows Server 2008 R2 lub Windows Server 2008.

Minimalnym wymaganiem do wykonania tej procedury jest członkostwo w grupie Administratorzy domeny lub Administratorzy przedsiębiorstwa albo równoważnej. Aby uzyskać więcej informacji na temat administrowania infrastrukturą kluczy publicznych, zobacz Implementowanie administrowania opartego na rolach.

Aby skonfigurować szablon certyfikatu dla certyfikatu podpisywania odpowiedzi protokołu OCSP wystawianego przez urząd certyfikacji oparty na systemie Windows Server 2003
  1. Otwórz przystawkę Szablony certyfikatów.

  2. Kliknij prawym przyciskiem myszy szablon Podpisywanie odpowiedzi protokołu OCSP, a następnie kliknij polecenie Duplikuj. Kliknij opcję Windows 2003 Server, Enterprise Edition, a następnie kliknij przycisk OK.

  3. Kliknij kartę Zabezpieczenia. W obszarze Nazwa grupy lub użytkownika kliknij opcję Dodaj, a następnie wpisz nazwę komputera lub znajdź i wybierz komputer, na którym ma działać usługa obiektu odpowiadającego w trybie online lub obiektu odpowiadającego protokołu OCSP.

  4. Kliknij opcję Typy obiektów, zaznacz pole wyboru Komputery, a następnie kliknij przycisk OK.

  5. Wpisz nazwę komputera lub znajdź i wybierz komputer, na którym ma działać usługa obiektu odpowiadającego w trybie online lub obiektu odpowiadającego protokołu OCSP, a następnie kliknij przycisk OK.

  6. W oknie dialogowym Nazwy grupy lub użytkownika kliknij nazwę komputera, a następnie w oknie dialogowym Uprawnienia zaznacz pola wyboru Odczyt i Rejestrowanie się.

Uwaga

Domyślny szablon certyfikatu podpisywania odpowiedzi protokołu OCSP zawiera rozszerzenie „Protokół OCSP bez sprawdzania odwołania”. Nie należy usuwać tego rozszerzenia. Jest ono używane przez wielu klientów do sprawdzania, czy odpowiedzi podpisane przy użyciu certyfikatu podpisywania są prawidłowe.

Jeśli urząd certyfikacji jest zainstalowany na komputerze z systemem Windows Server 2003, należy wykonać następującą procedurę w celu skonfigurowania modułu zasad w urzędzie certyfikacji do wystawiania certyfikatów zawierających to rozszerzenie.

Aby wykonać tę procedurę, użytkownik musi być administratorem lokalnym. Aby uzyskać więcej informacji na temat administrowania infrastrukturą kluczy publicznych, zobacz Implementowanie administrowania opartego na rolach.

Aby przygotować komputer z systemem Windows Server 2003 do wystawiania certyfikatów podpisywania odpowiedzi protokołu OCSP
  1. Na serwerze, na którym działa urząd certyfikacji, otwórz wiersz polecenia i wpisz:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
  2. Zatrzymaj i uruchom ponownie urząd certyfikacji. Można to zrobić z poziomu wiersza polecenia, uruchamiając następujące polecenia:

    net stop certsvc
    net start certsvc

Aby skonfigurować urząd certyfikacji na potrzeby protokołu OCSP, należy wykonać następujące kroki konfiguracji urzędu certyfikacji za pomocą przystawki Urząd certyfikacji:

  • Dodanie lokalizacji obiektu odpowiadającego w trybie online lub obiektu odpowiadającego protokołu OCSP do rozszerzenia dostępu do informacji o urzędach.

  • Włączenie szablonu certyfikatu dla urzędu certyfikacji.

Aby wykonać tę procedurę, użytkownik musi być administratorem urzędu certyfikacji. Aby uzyskać więcej informacji na temat administrowania infrastrukturą kluczy publicznych, zobacz Implementowanie administrowania opartego na rolach.

Aby skonfigurować urząd certyfikacji do obsługi usługi obiektu odpowiadającego w trybie online lub obiektu odpowiadającego protokołu OCSP
  1. Otwórz przystawkę Urząd certyfikacji.

  2. W drzewie konsoli kliknij nazwę urzędu certyfikacji.

  3. W menu Akcja kliknij polecenie Właściwości.

  4. Kliknij kartę Rozszerzenia.

  5. Na liście Wybierz rozszerzenie kliknij pozycję Dostęp do informacji o urzędach (AIA), a następnie kliknij opcję Dodaj.

  6. Określ lokalizacje, z których użytkownicy będą mogli uzyskiwać dane odwołania certyfikatów, na przykład: http://nazwa_komputera/ocsp.

  7. Zaznacz pole wyboru Dołącz do rozszerzenia protokołu stanu certyfikatów online (OCSP).

  8. W drzewie konsoli przystawki Urząd certyfikacji kliknij prawym przyciskiem myszy pozycję Szablony certyfikatów, a następnie kliknij polecenie Nowy szablon certyfikatu do wystawienia.

  9. W obszarze Włączanie szablonu certyfikatu zaznacz szablon Podpisywanie odpowiedzi protokołu OCSP oraz dowolne inne poprzednio skonfigurowane szablony certyfikatów, a następnie kliknij przycisk OK.

  10. Kliknij dwukrotnie pozycję Szablony certyfikatów, aby sprawdzić, czy zmodyfikowane szablony certyfikatów są wymienione na liście.


Spis treści