A guia Assinatura, na página Propriedades do Respondente Online, mostra o algoritmo de hash usado para ajudar a verificar operações de autenticação de respostas do Respondente Online para clientes.
As seguintes opções de assinatura podem ser configuradas:
-
Não solicitar credenciais para operações de criptografia. Se a chave de autenticação for fortemente protegida por uma senha adicional, selecionar essa opção significa que o Respondente Online não solicitará a senha ao usuário e falhará de modo silencioso.
Observação Não selecione essa opção se um HSM (módulo de segurança de hardware) for usado para proteger chaves privadas.
-
Usar automaticamente os certificados de autenticação renovados. Instrui o Respondente Online a usar automaticamente certificados de autenticação renovados sem pedir ao administrador do Respondente Online para atribuí-los manualmente.
-
Habilitar suporte de extensão NONCE. Instrui o Respondente Online a inspecionar e processar uma solicitação OCSP (protocolo de status de certificados online), que inclui uma extensão nonce. Se uma extensão nonce for incluída na solicitação OCSP e essa opção estiver selecionada, o Respondente Online vai ignorar as respostas OCSP em cache e criará uma nova resposta, que inclui a nonce fornecida na solicitação. Se essa opção estiver desabilitada e uma solicitação que inclui uma extensão nonce for recebida, o Respondente Online rejeitará a solicitação com um erro "não autorizado".
Observação O cliente OCSP da Microsoft não oferece suporte para extensão nonce.
-
Usar qualquer certificado de autenticação OCSP válido. Por padrão, o Respondente Online usará apenas os certificados de autenticação emitidos pela mesma autoridade de certificação (CA) que emitiu o certificado que está sendo validado. Essa opção permite modificar o comportamento padrão e instrui o Respondente Online a usar qualquer certificado válido existente que inclui a extensão de EKU de Autenticação OCSP.
Observação Os clientes que executarem versões do Windows anteriores ao Windows Vista com Service Pack 1 (SP1) não suportam essa opção e haverá falha nas solicitações de status de certificação desses clientes se essa opção for selecionada.
As seguintes opções do identificador do Respondente Online podem ser usadas para selecionar se é necessário incluir o hash da chave ou o requerente do certificado de autenticação na resposta:
-
Hash da chave do certificado de autenticação. Alguns provedores de serviços de criptografia (CSP) exigem o hash da chave do certificado de autenticação para acessar chaves privadas.
-
Requerente do certificado de autenticação. Alguns provedores de serviços de criptografia (CSPs) exigem o requerente do certificado de autenticação para acessar chaves privadas.