Os certificados de Assinatura de Resposta do Protocolo de Estado de Certificado Online (OCSP) têm de ser assinados pela mesma chave de autoridade de certificação (AC) utilizada para assinar os certificados de entidade final cujo estado fornecem.

Após a renovação de uma chave da AC, a AC passará a utilizar a nova chave para assinar os certificados emitidos. No período entre a renovação de um certificado da AC e a data de expiração do certificado original da AC, a AC não pode emitir nem renovar certificados de Assinatura de Resposta OCSP, o que poderá impedir que um Dispositivo de Resposta Online assine respostas do protocolo OCSP.

Para resolver este problema, as ACs baseadas no Windows Server 2008 R2 e as ACs baseadas no Windows Server 2008 podem ser configuradas para modificar o comportamento predefinido e permitir que os certificados de Assinatura de Resposta OCSP sejam emitidos utilizando uma chave de AC renovada.

Tem de ser administrador no servidor anfitrião da AC para concluir este procedimento. Para mais informações sobre administração de uma infra-estrutura de chaves públicas (PKI), consulte Implementar Administração Baseada em Funções.

Para permitir que os certificados de Assinatura de Resposta OCSP sejam renovados utilizando chaves de AC existentes
  1. No computador da AC, abra uma linha de comandos e escreva:

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. Prima ENTER.

  3. Reinicie o serviço da AC.

Referências adicionais


Sumário