Para funcionar corretamente, um Respondente Online deve ter um certificado de Autenticação de Resposta OCSP (Protocolo de Status de Certificados Online). Esse certificado de Autenticação de Resposta OCSP também é necessário se você estiver usando um respondente OCSP não-Microsoft.

A configuração de uma CA (autoridade de certificação) para que ofereça suporte a serviços de respondente OCSP inclui as seguintes etapas:

  1. Configurar modelos de certificado e propriedades de emissão para certificados de Assinatura de Resposta OCSP.

  2. Configurar permissões de registro para quaisquer computadores que estejam hospedando Respondentes Online.

  3. Se for o caso de uma CA baseada em Windows Server 2003, habilite a extensão OCSP nos certificados emitidos.

  4. Adicionar o local do Respondente Online ou do respondente OCSP à extensão de acesso a informações da autoridade na CA.

  5. Habilitar o modelo de certificado de Autenticação de Resposta OCSP para a CA.

O modelo de certificado usado para emitir um certificado de Autenticação de Resposta OCSP deve conter uma extensão "OCSP Sem Verificação de Revogação" e a diretiva de aplicação de Autenticação OCSP. As permissões também devem ser configuradas para permitir que o computador que hospedará o Respondente Online se registre para esse certificado.

O procedimento a seguir é destinado a uma CA instalada em um computador que execute Windows Server 2008 R2 ou Windows Server 2008.

Ser membro do grupo Admins. do Domínio ou Administradores Corporativos, ou equivalente, é o mínimo necessário para concluir este procedimento. Para obter mais informações sobre como administrar uma infraestrutura de chave pública (PKI), consulte Implementar a administração baseada em função.

Para configurar o modelo de certificado para um certificado de Autenticação de Resposta OCSP emitido por uma CA baseada em Windows Server 2008 R2 ou em Windows Server 2008
  1. Abra o snap-in Modelos de Certificados.

    Observação

    Se você estiver concluindo este procedimento em um computador que não possua CA ou Respondente Online instalado, talvez seja necessário instalar as Ferramentas de Administração de Servidor Remoto dos Serviços de Certificados do Active Directory (AD CS) para usar o snap-in de modelos de certificados. Para obter mais informações sobre as Ferramentas de Administração de Servidor Remoto, consulte Administrar um Respondente Online de outro computador.

  2. Clique com o botão direito do mouse no modelo Assinatura de Resposta OCSP e clique em Propriedades.

  3. Clique na guia Segurança. Em Nome de grupo ou de usuário, clique em Adicionar.

  4. Clique em Tipos de Objeto, marque a caixa de seleção Computadores e clique em OK.

  5. Digite o nome ou procure e selecione o computador que hospeda o Respondente Online ou serviços de respondente OCSP e clique em OK.

  6. Na caixa de diálogo Nome de grupo ou de usuário, clique no nome do computador e, na caixa de diálogo Permissões, marque as caixas de seleção Leitura e Registro. Clique em OK.

O procedimento a seguir é destinado a uma CA instalada em um computador que execute Windows Server 2003. Esse procedimento deverá ser concluído em um computador que execute Windows Server 2008 R2 ou Windows Server 2008.

Ser membro do grupo Admins. do Domínio ou Administradores Corporativos, ou equivalente, é o mínimo necessário para concluir este procedimento. Para obter mais informações sobre como administrar uma PKI, consulte Implementar a administração baseada em função.

Para configurar o modelo de certificado para um certificado de Autenticação de Resposta OCSP emitido por uma CA baseada em Windows Server 2003
  1. Abra o snap-in de modelos de certificado.

  2. Clique com o botão direito do mouse no modelo Assinatura de Resposta OCSP e clique em Duplicar. Clique em Windows 2003 Server, Enterprise Edition e clique em OK.

  3. Clique na guia Segurança. Em Nome de grupo ou de usuário, clique em Adicionar e digite o nome ou procure e selecione o computador que hospeda o Respondente Online ou serviços de respondente OCSP.

  4. Clique em Tipos de Objeto, marque a caixa de seleção Computadores e clique em OK.

  5. Digite o nome ou procure e selecione o computador que hospeda o Respondente Online ou serviços de respondente OCSP e clique em OK.

  6. Na caixa de diálogo Nome de grupo ou de usuário, clique no nome do computador e, na caixa de diálogo Permissões, marque as caixas de seleção Leitura e Registro.

Observação

O modelo de certificado de Autenticação de Resposta OCSP contém uma extensão "OCSP Sem Verificação de Revogação". Não remova essa extensão; ela é usada por muitos clientes para verifica se as respostas assinadas com o certificado de autenticação são válidas.

Se a CA estiver instalada em um computador que execute Windows Server 2003, você deverá concluir o procedimento a seguir para configurar o módulo de diretiva na CA para emitir certificados que incluam essa extensão.

Você deve ser um administrador local para concluir este procedimento. Para obter mais informações sobre como administrar uma PKI, consulte Implementar a administração baseada em função.

Para preparar um computador que execute o Windows Server 2003 para emitir certificados de Assinatura de Resposta OCSP
  1. No servidor que hospeda a CA, abra um prompt de comando e digite:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
  2. Interromper e reiniciar a autoridade de certificação. Você pode fazê-lo em um prompt de comando executando os seguintes comandos:

    net stop certsvc
    net start certsvc

Para configurar sua CA para OCSP, você deve usar o snap-in de autoridade de certificação para concluir as seguintes etapas de configuração da CA:

  • Adicionar o local do Respondente Online ou do respondente OCSP à extensão de acesso a informações da autoridade.

  • Habilitar o modelo de certificado para a CA.

Você deve ser um administrador de autoridade de certificação para concluir este procedimento. Para obter mais informações sobre como administrar uma PKI, consulte Implementar a administração baseada em função.

Para configurar uma CA para que ofereça suporte a um Respondente Online ou a serviços de respondente OCSP
  1. Abra o snap-in Autoridade de Certificação.

  2. Na árvore de console, clique no nome de uma Autoridade de Certificação.

  3. No menu Ação, clique em Propriedades.

  4. Clique na guia Extensões.

  5. Na lista Selecione a extensão clique em Acesso a Informações de Autoridade (AIA)e clique em Adicionar.

  6. Especifique os locais onde os usuários podem obter dados de revogação de certificados, como http://computername/ocsp.

  7. Marque a caixa de seleção Incluir na extensão do protocolo de status de certificados on-line (OCSP).

  8. Na árvore de console da Autoridade de Certificação, clique com o botão direito do mouse em Modelos de Certificado; em seguida, clique em Novos Modelos de Certificado a Serem Emitidos.

  9. Em Ativar modelos de certificado, selecione o modelo Assinatura de Resposta OCSP e quaisquer outros modelos de certificados que você tenha configurado anteriormente; clique em OK.

  10. Clique duas vezes em Modelos de Certificado e verifique se os modelos de certificado modificados aparecem na lista.


Sumário