Для правильной работы сетевой ответчик должен иметь действительный сертификат подписывания отклика OCSP. Этот сертификат необходим также при использовании ответчика OCSP сторонних разработчиков.
Настройка центра сертификации (ЦС) для поддержки служб ответчика OCSP включает следующие шаги.
-
Настройка шаблонов сертификатов и свойств выдачи для сертификатов подписывания отклика OCSP.
-
Настройка разрешений на подачу заявок для компьютеров, на которых будут расположены сетевые ответчики.
-
Включение расширения OCSP в выданных сертификатах, если используется центр сертификации на базе Windows Server 2003.
-
Добавление размещения сетевого ответчика или ответчика OCSP в расширение AIA центра сертификации.
-
Включение шаблона сертификата подписывания отклика OCSP для центра сертификации.
Шаблон сертификата, используемый для выдачи сертификата подписывания отклика OCSP, должен содержать расширение «Не проверять отзыв OCSP» и политику применения подписывания OCSP. Кроме того, необходимо разрешить подачу заявки на данный сертификат для компьютера, на котором будет расположен сетевой ответчик.
Следующая процедура предназначена для ЦС, установленного на компьютере под управлением Windows Server 2008 R2 или Windows Server 2008.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или Администраторы предприятия либо наличие эквивалентных прав. Дополнительные сведения об администрировании инфраструктуры открытого ключа (PKI) см. в разделе Реализация ролевого администрирования.
Настройка шаблона сертификата подписывания отклика OCSP, выдаваемого ЦС на базе Windows Server 2008 или Windows Server 2008 R2. |
Откройте оснастку «Шаблоны сертификатов».
Примечание Если данная процедура выполняется на компьютере, на котором не установлен ЦС или сетевой ответчик, для использования оснастки «Шаблоны сертификатов» может потребоваться установка средств удаленного администрирования сервера служб сертификации Active Directory (AD CS). Дополнительные сведения о средствах удаленного администрирования сервера см. в разделе Администрирование сетевого ответчика с другого компьютера.
Щелкните правой кнопкой мыши шаблон Подписывание отклика OSPC и выберите команду Свойства.
Перейдите на вкладку Безопасность. В группе Группа или пользователь нажмите кнопку Добавить.
Нажмите кнопку Типы объектов, установите флажок Компьютеры и нажмите кнопку ОК.
Введите имя компьютера или выберите компьютер, на котором размещены службы сетевого ответчика или ответчика OCSP, и нажмите кнопку ОК.
Щелкните имя компьютера в диалоговом окне Имена групп или пользователей и установите флажки Чтение и Заявка в диалоговом окне Разрешения. Нажмите кнопку ОК.
Следующая процедура предназначена для ЦС, установленного на компьютере под управлением Windows Server 2003. Она должна быть выполнена на компьютере под управлением Windows Server 2008 R2 или Windows Server 2008.
Минимальным требованием для выполнения этой процедуры является членство в группе Администраторы домена или Администраторы предприятия либо наличие эквивалентных прав. Дополнительные сведения об администрировании PKI см. в разделе Реализация ролевого администрирования.
Чтобы настроить шаблон сертификата подписывания отклика OCSP, выдаваемого ЦС на базе Windows Server 2003 |
Откройте оснастку «Шаблоны сертификатов».
Щелкните правой кнопкой мыши шаблон Подписывание отклика OSPC и выберите команду Дублировать. В меню Windows Server 2003, Enterprise Edition выберите команду ОК.
Перейдите на вкладку Безопасность. В группе Группа или пользователь нажмите кнопку Добавить и выберите компьютер или введите имя компьютера, на котором размещены службы сетевого ответчика или ответчика OCSP.
Выберите элемент Типы объектов, установите флажок Компьютеры и нажмите кнопку ОК.
Введите имя компьютера или выберите компьютер, на котором размещены службы сетевого ответчика или ответчика OCSP, и нажмите кнопку ОК.
Щелкните имя компьютера в диалоговом окне Имена групп или пользователей и установите флажки Чтение и Заявка в диалоговом окне Разрешения.
Примечание | |
По умолчанию шаблон сертификата подписывания отклика OCSP содержит расширение с заголовком «Не проверять отзывы OCSP». Не удаляйте это расширение, поскольку оно используется многими клиентами для проверки действительности ответов, подписанных данным сертификатом подписи. |
Если ЦС установлен на компьютере под управлением Windows Server 2003, то для настройки модуля политики ЦС на выдачу сертификатов, включающих это расширение, необходимо выполнить следующую процедуру.
Для выполнения этой процедуры необходимо иметь права администратора. Дополнительные сведения об администрировании PKI см. в разделе Реализация ролевого администрирования.
Чтобы подготовить компьютер под управлением Windows Server 2003 для выдачи сертификатов подписывания отклика OCSP |
На сервере ЦС откройте окно командной строки и введите:
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
Остановите и перезапустите центр сертификации. Это можно сделать в окне командной строки, введя следующие команды:
net stop certsvc net start certsvc
Чтобы настроить ЦС для OCSP, необходимо выполнить следующие шаги в оснастке «Центр сертификации».
-
Добавить расположение сетевого ответчика или ответчика OCSP в расширение доступа к сведениям о центрах сертификации (AIA).
-
Включить шаблон сертификата для центра сертификации.
Для выполнения этой процедуры необходимо иметь права администратора центра сертификации. Дополнительные сведения об администрировании PKI см. в разделе Реализация ролевого администрирования.
Чтобы настроить центр сертификации для поддержки служб «Сетевой ответчик» или «Ответчик OCSP» |
Откройте оснастку «Центр сертификации».
В дереве консоли щелкните имя центра сертификации.
В меню Действие выберите команду Свойства.
Перейдите на вкладку Расширения .
В списке Выберите расширение щелкните Доступ к сведениям о центрах сертификации (AIA) и нажмите кнопку Добавить.
Укажите расположения, из которых пользователи могут получить данные об отзыве сертификатов, например http://имя_компьютера/ocsp.
Установите флажок Включать в расширения протокола OCSP .
В дереве консоли оснастки «Центра сертификации» щелкните правой кнопкой мыши Шаблоны сертификатов и выберите команду Выдаваемый шаблон сертификата.
В группе Включение шаблонов сертификатов выберите шаблон Подписывание отклика OSPC и любые другие ранее настроенные шаблоны сертификатов, а затем нажмите кнопку ОК.
Дважды щелкните Шаблоны сертификатов и убедитесь, что измененные шаблоны сертификатов появились в списке.