Certifikat för svarssignering för OCSP behöver signeras med samma certifikatutfärdarnyckel som användes för att signera det certifikat som de anger status för.

Efter att en certifikatutfärdarnyckel förnyas kommer certifikatutfärdaren att använda den nya nyckeln för att signera nya certifikat. Under perioden mellan den tid då ett certifikatutfärdarcertifikat förnyas och förfallodatumet för det ursprungliga certifikatutfärdarcertifikatet kommer certifikatutfärdaren inte att utfärda eller förnya OCSP-certifikat för svarssignering, vilket kan förhindra en onlinesvarare från att signera OCSP-svar.

För att lösa detta problem kan Windows Server 2008 R2- och Windows Server 2008-baserade certifikatutfärdare konfigureras att ändra standardbeteendet och tillåta att OCSP-certifikat för svarssignering utfärdas med den förnyade certifikatutfärdarnyckeln.

Du måste vara administratör på den server som är värd för certifikatutfärdaren för att kunna utföra denna procedur. Mer information om hur du administrerar en PKI (Public Key Infrastructure) finns i Implementera rollbaserad administration.

Så här tillåter du att OCSP-certifikat för svarssignering förnyas med befintliga certifikatutfärdarnycklar
  1. På certifikatutfärdardatorn öppnar du kommandotolken och skriver:

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. Tryck på RETUR.

  3. Starta om certifikatutfärdartjänsten.

Ytterligare referenser


Innehåll