Os certificados de autenticação de resposta OCSP (Protocolo de Status de Certificados Online) precisam ser autenticados pela mesma chave da autoridade de certificação usada para autenticar os certificados de entidade final para os quais fornecem status.

Depois que uma chave de autoridade de certificação é renovada, a autoridade de certificação usa a nova chave para autenticar certificados recém-emitidos. No período entre o momento em que o certificado da autoridade de certificação é renovado e a data de expiração do certificado original da autoridade de certificação, a autoridade de certificação não pode emitir ou renovar certificados de autenticação de resposta OCSP, o que talvez impeça um Respondente Online de autenticar respostas OCSP.

Para contornar esse problema, as autoridades de certificação baseadas no Windows Server 2008 R2 e Windows Server 2008 podem ser configuradas para modificar o comportamento padrão e permitir que certificados de Autenticação de Resposta OCSP sejam emitidos usando uma chave de autoridade de certificação renovada.

Você deve ser um administrador no servidor que hospeda a autoridade de certificação para concluir esse procedimento. Para obter mais informações sobre como administrar uma infraestrutura de chave pública (PKI), consulte Implementar a administração baseada em função.

Para permitir que os certificados de autenticação de resposta OCSP sejam renovados usando chaves de autoridade de certificação existentes
  1. No computador da autoridade de certificação, abra um prompt de comando e digite:

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. Pressione ENTER.

  3. Reinicie o serviço da autoridade de certificação.

Referências adicionais


Sumário