Çevrimiçi Yanıtlayıcının düzgün çalışması için, geçerli bir Çevrimiçi Sertifika Durum Protokolü (OCSP) Yanıt İmzalama sertifikası olması gerekir. OCSP Yanıt İmzalama sertifikası, Microsoft olmayan bir OCSP yanıtlayıcısı kullanıyorsanız da gerekir.
Bir Sertifika yetkilisinin (CA), OCSP yanıtlayıcı hizmetlerini destekleyecek şekilde yapılandırılması aşağıdaki adımları içerir:
-
OCSP Yanıt İmzalama sertifikaları için sertifika şablonu ve verme özellikleri yapılandırın.
-
Çevrimiçi Yanıtlayıcıları barındıracak tüm bilgisayarlar için kayıt izinleri yapılandırın.
-
Eğer bu, Windows Server 2003 tabanlı bir CA ise, verilen sertifikalarda OCSP uzantısını etkinleştirin.
-
CA'da yetkilendirme bilgisi erişim uzantısına, Çevrimiçi Yanıtlayıcının veya OCSP yanıtlayıcısının konumunu ekleyin.
-
CA için OCSP Yanıt İmzalama sertifika şablonunu etkinleştirin.
Bir OCSP Yanıt İmzalama sertifikası vermek için kullanılan sertifika şablonunun, "OCSP İptal Denetimi Yok" başlıklı bir uzantı ve OCSP İmzalama uygulama ilkesi içermesi gerekir. İzinlerin ayrıca, Çevrimiçi Yanıtlayıcıyı barındıracak bilgisayarın bu sertifikaya kaydolmasına da izin verecek şekilde yapılandırılması gerekir.
Aşağıdaki yordam, Windows Server 2008 R2 veya Windows Server 2008 çalıştıran bir bilgisayarda yüklü CA içindir.
Domain Admins veya Enterprise Admins veya eşdeğer bir gruptaki üyelik, bu yordamı tamamlamak için gereken en düşük üyeliktir. Ortak anahtar altyapısının (PKI) yönetimiyle ilgili daha fazla bilgi için, bkz. Rol Tabanlı Yönetim Uygulama.
Windows Server 2008 R2 tabanlı CA veya Windows Server 2008 tabanlı CA tarafından verilen bir OCSP Yanıt İmzalama sertifikasına yönelik sertifika şablonunu yapılandırmak için |
Sertifika Şablonları ek bileşenini açın.
Not Bu yordamı, CA veya Çevrimiçi Yanıtlayıcı yüklü olmayan bir bilgisayarda tamamlıyorsanız, Sertifika Şablonları ek bileşenini kullanabilmek için, Active Directory Hizmetleri (AD CS) Uzak Sunucu Yönetim Araçları'nı yüklemeniz gerekebilir. Uzak Sunucu Yönetim Araçları hakkında daha fazla bilgi için, bkz. Çevrimiçi Yanıtlayıcıyı Başka Bir Bilgisayardan Yönetme.
OCSP Yanıt İmzalama'yı sağ tıklatın ve ardından Özellikler'i tıklatın.
Güvenlik sekmesini tıklatın. Grup ya da kullanıcı adı altında, Ekle'yi tıklatın.
Nesne Türleri'ni tıklatın, Bilgisayarlar onay kutusunu seçin ve ardından Tamam'ı tıklatın.
Çevrimiçi Yanıtlayıcı veya OCSP yanıtlayıcı hizmetlerini barındıran bilgisayarın adını yazın veya seçmek için göz atın ve Tamam'ı tıklatın.
Grup ya da kullanıcı adları iletişim kutusunda, bilgisayarın adını tıklatın ve İzinler iletişim kutusunda, Okuma ve Kayıt onay kutularını seçin. Sonra Tamam'ı tıklatın.
Aşağıdaki yordam, Windows Server 2003 çalıştıran bir bilgisayarda yüklü CA içindir. Yordamın Windows Server 2008 R2 veya Windows Server 2008 çalıştıran bir bilgisayarda tamamlanması gerekir.
Domain Admins veya Enterprise Admins veya eşdeğer bir gruptaki üyelik, bu yordamı tamamlamak için gereken en düşük üyeliktir. PKI yönetimiyle ilgili daha fazla bilgi için, bkz. Rol Tabanlı Yönetim Uygulama.
Windows Server 2003 tabanlı CA tarafından verilen bir OCSP Yanıt İmzalama sertifikasına yönelik sertifika şablonu yapılandırmak için |
Sertifika Şablonları ek bileşenini açın.
OCSP Yanıt İmzalama'yı sağ tıklatın ve ardından Çoğalt'ı tıklatın. Windows 2003 Server, Enterprise Edition'ı ve ardından Tamam'ı tıklatın.
Güvenlik sekmesini tıklatın. Grup ya da kullanıcı adı altında, Ekle'yi tıklatın ve ardından Çevrimiçi Yanıtlayıcı veya OCSP yanıtlayıcı hizmetlerini çalıştıran bilgisayarın adını yazın veya seçmek için göz atın.
Nesne Türleri'ni tıklatın, Bilgisayarlar onay kutusunu seçin ve ardından Tamam'ı tıklatın.
Çevrimiçi Yanıtlayıcı veya OCSP yanıtlayıcı hizmetlerini barındıran bilgisayarın adını yazın veya seçmek için göz atın ve Tamam'ı tıklatın.
Grup ya da kullanıcı adları iletişim kutusunda, bilgisayarın adını tıklatın ve İzinler iletişim kutusunda, Okuma ve Kayıt onay kutularını seçin.
Not | |
Varsayılan OCSP Yanıt İmzalama sertifika şablonu, "OCSP İptal Denetimi Yok" başlıklı uzantı içerir. İmzalama sertifikası ile imzalanan yanıtların geçerliliğinin doğrulanması için birçok istemci tarafından kullanılan bu uzantıyı kaldırmayın. |
CA, Windows Server 2003 çalıştıran bir bilgisayara yüklendiyse, CA'daki ilke modülünü bu uzantıyı içeren sertifikalar verecek şekilde yapılandırmak için, aşağıdaki yordamı tamamlamanız gerekir.
Bu yordamı tamamlamak için yerel yönetici olmanız gerekir. PKI yönetimiyle ilgili daha fazla bilgi için, bkz. Rol Tabanlı Yönetim Uygulama.
Windows Server 2003 çalıştıran bir bilgisayarı, OCSP Yanıt İmzalama sertifikaları verecek şekilde hazırlamak için |
CA'yı barındıran sunucuda, komut istemi açın ve şunu yazın:
certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
CA'yı durdurun ve yeniden başlatın. Bunu, komut isteminde aşağıdaki komutları çalıştırarak yapabilirsiniz:
net stop certsvc net start certsvc
CA'nızı OCSP için yapılandırmak üzere, aşağıdaki CA yapılandırma adımlarını tamamlamak için Sertifika Yetkilisi ek bileşenini kullanmanız gerekir:
-
Yetkilendirme bilgisi erişim uzantısına, Çevrimiçi Yanıtlayıcının veya OCSP yanıtlayıcısının konumunu ekleyin.
-
CA için sertifika şablonunu etkinleştirin.
Bu yordamı tamamlamak için CA yöneticisi olmanız gerekir. PKI yönetimiyle ilgili daha fazla bilgi için, bkz. Rol Tabanlı Yönetim Uygulama.
CA'yı Çevrimiçi Yanıtlayıcı veya OCSP yanıtlayıcı hizmetlerini destekleyecek şekilde yapılandırmak için |
Sertifika Yetkilisi ek bileşenini açın.
Konsol ağacında, CA'nın adını tıklatın.
Eylem menüsünde Özellikler'i tıklatın.
Uzantılar sekmesini tıklatın.
Uzantı seç listesinde, Yetkili Bilgi Erişimi (AIA) öğesini ve ardından Ekle'yi tıklatın.
Kullanıcıların http://bilgisayaradı/ocsp gibi sertifika iptal verilerini alabilecekleri konumları belirleyin.
Çevrimiçi sertifika durum protokolü (OCSP) uzantısını ekle onay kutusunu seçin.
Sertifika Yetkilisi ek bileşeninin konsol ağacında, Sertifika Şablonları'nı sağ tıklatın ve ardından Verilecek Yeni Sertifika Şablonları'nı tıklatın.
Sertifika Şablonu Etkinleştir'de, OCSP Yanıt İmzalama şablonunu ve önceden yapılandırdığınız diğer şablonları seçin ve ardından Tamam'ı tıklatın.
Sertifika Şablonları'nı çift tıklatın ve değişiklik yapılan sertifika şablonlarının listede görüntülendiğini doğrulayın.