När ett certifikat återkallas, ogiltigförklaras det som betrott säkerhets-ID innan dess planerade förfallodatum har passerats. En infrastruktur för offentliga nycklar bygger på distribuerad autentisering, utan krav på direkt kommunikation med den centrala betrodda enhet som garanterar autentiseringsuppgifternas äkthet.
Klientdatorn måste avgöra om certifikatet är giltigt eller har återkallats. Du kan använda Active Directory-certifikattjänster med de metoder för certifikatåterkallelse som är standard. Listor över återkallade certifikat och listor över ändringar i återkallade certifikat publiceras på platser som kunderna har tillgång till, till exempel AD DS (Active Directory Domain Services), webbservrar och nätverksfilresurser. I Windows kan information om återkallade certifikat också göras tillgänglig med en rad olika inställningar, via OCSP-svar (Online Certificate Status Protocol).
OBS | |
Listorna över återkallade certifikat publiceras regelbundet på angivna nätverksplatser, där de sedan kan hämtas av klientdatorer. OCSP-svar är digitalt signerade svar som anger om ett enskilt certifikat har återkallats eller avbrutits eller om dess status är okänd. OCSP-svarande hämtar informationen från publicerade listor över återkallade certifikat. Informationen kan också uppdateras direkt från certifikatutfärdarens certifikatstatusdatabas. |
Med grupprincipen för offentlig nyckel kan administratörer dessutom förbättra användningen av listor över återkallade certifikat och OCSP-svarare, framför allt i situationer då onormalt stora listor eller nätverksförhållandena påverkar kapaciteten.
I det här avsnittet beskrivs procedurer för följande aktiviteter:
Konfigurera inställningar för återkallelse på en lokal dator
Du måste minst ha gruppmedlemskap i Administratörer för att kunna slutföra den här proceduren.
Konfigurera inställningar för återkallelse på en lokal dator |
Klicka på Start skriv gpedit.msc i rutan Sök bland program och filer och tryck sedan på RETUR.
I konsolträdet under Princip för den lokala datorn\Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar klickar du på Principer för offentliga nycklar.
Dubbelklicka på Inställningar för validering av certifikatsökväg och klicka på fliken Återkallelse.
Markera kryssrutan Definiera följande principinställningar, markera principinställningarna som du vill använda och klicka sedan på OK om du vill använda de nya inställningarna.
Konfigurera inställningar för återkallelse för en domän
Du måste minst ha gruppmedlemskap i Domänadministratörer för att kunna slutföra den här proceduren.
Konfigurera återkallelseinställningar för en domän |
Klicka på Start-menyn, peka på Administrationsverktyg och klicka på Serverhanteraren.
Klicka på Lägg till funktioner i Sammanfattning över funktioner. Markera kryssrutan Grupprinciphantering, klicka på Nästa och sedan på Installera.
När sidan Installationsresultat visar att installationen av konsolen Grupprinciphantering (GPMC) är klar, klickar du på Stäng.
Klicka på Start, peka på Administrationsverktyg och klicka sedan på Grupprinciphantering.
Dubbelklicka på Grupprincipobjekt i den skog och domän i konsolträdet som innehåller grupprincipobjektet Standarddomänprincip som du vill redigera.
Högerklicka på grupprincipobjektet Standardprincipdomän och klicka sedan på Redigera.
I konsolträdet under Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar klickar du på Principer för offentliga nycklar.
Dubbelklicka på Inställningar för validering av certifikatsökväg och klicka på fliken Återkallelse.
Markera kryssrutan Definiera följande principinställningar, markera principinställningarna som du vill använda och klicka sedan på OK om du vill använda de nya inställningarna.
Utöka giltighetsperioden för listor över återkallade certifikat och OCSP-svar för en lokal dator
Du måste minst ha gruppmedlemskap i Administratörer för att kunna slutföra den här proceduren.
Utöka giltighetsperioden för listor över återkallade certifikat och OCSP-svar för en lokal dator |
Klicka på Start skriv gpedit.msc i rutan Sök bland program och filer och tryck sedan på RETUR.
I konsolträdet under Princip för den lokala datorn\Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar klickar du på Principer för offentliga nycklar.
Dubbelklicka på Inställningar för validering av certifikatsökväg och klicka på fliken Återkallelse.
Markera kryssrutan Definiera följande principinställningar och markera kryssrutan Tillåt att återkallade certifat och OCSP-svar är giltiga längre än deras livstid.
I rutan Standardförlängning av giltighetsperiod anger du ett värde (i timmar) och klickar på OK.
Utöka giltighetsperioden för listor över återkallade certifikat och OCSP-svar för en domän
Du måste minst ha gruppmedlemskap i Domänadministratörer för att kunna slutföra den här proceduren.
Utöka giltighetsperioden för listor över återkallade certifikat och OCSP-svar för en domän |
Klicka på Start-menyn, peka på Administrationsverktyg och klicka på Serverhanteraren.
Klicka på Lägg till funktioner i Sammanfattning över funktioner. Markera kryssrutan Grupprinciphantering, klicka på Nästa och sedan på Installera.
När sidan Installationsresultat visar att installationen av konsolen Grupprinciphantering är klar, klickar du på Stäng.
Klicka på Start, peka på Administrationsverktyg och klicka sedan på Grupprinciphantering.
Dubbelklicka på Grupprincipobjekt i den skog och domän i konsolträdet som innehåller grupprincipobjektet Standarddomänprincip som du vill redigera.
Högerklicka på grupprincipobjektet Standardprincipdomän och klicka sedan på Redigera.
I konsolträdet under Datorkonfiguration\Windows-inställningar\Säkerhetsinställningar klickar du på Principer för offentliga nycklar.
Dubbelklicka på Inställningar för validering av certifikatsökväg och klicka på fliken Återkallelse.
Markera kryssrutan Definiera följande principinställningar och markera kryssrutan Tillåt att återkallade certifikat och OCSP-svar är giltiga längre än deras livstid.
I rutan Standardförlängning av giltighetsperiodanger du ett värde (i timmar) och klickar på OK.
Ytterligare referenser