O separador Assinatura da página Propriedades do Dispositivo de Resposta Online mostra o algoritmo hash utilizado para ajudar a verificar operações de assinatura para respostas de Dispositivos de Resposta Online aos clientes.

É possível configurar as seguintes opções de configuração:

  • Não pedir credenciais para operações de criptografia. Se a chave de assinatura estiver protegida de forma segura por uma palavra-passe adicional, a selecção desta opção significará que o Dispositivo de Resposta Online não pedirá a palavra-passe ao utilizador e ocorrerá uma falha silenciosa.

    Nota

    Não seleccione esta opção se for utilizado um módulo de hardware de segurança (HSM) para proteger as chaves privadas.

  • Utilizar automaticamente certificados de assinatura renovados. Dá instruções ao Dispositivo de Resposta Online para utilizar automaticamente certificados de assinatura renovados sem solicitar ao administrador do Dispositivo de Resposta Online que os atribua manualmente.

  • Activar suporte a extensões NONCE. Dá instruções ao Dispositivo de Resposta Online para inspeccionar e processar um pedido do Protocolo de Estado de Certificado Online (OCSP) que inclua uma extensão nonce. Se uma extensão nonce for incluída no pedido OCSP e esta opção estiver seleccionada, o Dispositivo de Resposta Online ignorará as respostas do protocolo OCSP colocadas em cache e criará uma nova resposta que inclua a extensão nonce fornecida no pedido. Se esta opção estiver desactivada e for recebido um pedido que inclua uma extensão nonce, o Dispositivo de Resposta Online rejeitará o pedido com um erro "não autorizado".

    Nota

    O cliente Microsoft OCSP não suporta a extensão nonce.

  • Utilizar qualquer certificado de assinatura OCSP válido. Por predefinição, o Dispositivo de Resposta Online apenas utilizará certificados de assinatura emitidos pela mesma autoridade de certificação (AC) que emitiu o certificado que está a ser validado. Esta opção permite modificar o comportamento predefinido, e dá instruções ao Dispositivo de Resposta Online para que utilize qualquer certificado válido existente que inclua a extensão EKU de Assinatura de OCSP.

    Nota

    Os clientes que utilizam versões do Windows anteriores ao Windows Vista com Service Pack 1 (SP1) não suportam esta opção e os pedidos de estado de certificado destes clientes irão falhar se esta opção for seleccionada.

É possível utilizar as seguintes opções do identificador do Dispositivo de Resposta Online para seleccionar se pretende incluir o hash da chave ou o requerente do certificado de assinatura na resposta:

  • Hash da chave do certificado de assinatura. Alguns CSPs (fornecedores de serviços de criptografia) necessitam do hash da chave do certificado de assinatura para aceder a chaves privadas.

  • Requerente do certificado de assinatura. Alguns CSPs necessitam do requerente do certificado de assinatura para aceder a chaves privadas.

Referências adicionais


Sumário