管理员使用 OCSP 选项卡向证书颁发机构 (CA) 证书添加联机证书状态协议 (OCSP) 响应程序 URL,这些证书通过组策略分发给 Active Directory 域成员。这使组织能够将 OCSP 响应程序添加到现有公钥基础结构 (PKI),无需重新颁发 CA 证书或 CA 先前颁发的所有证书。通过这种方式提供的 OCSP 响应程序 URL 用于验证 CA 颁发的证书的证书吊销状态。

Enterprise Admins 是完成此过程所需的最低组成员身份。

向 CA 证书添加 OCSP 响应程序 URL
  1. 单击「开始」,然后单击“运行”。键入 gpmc.msc,然后单击“确定”打开组策略管理控制台 (GPMC)。

  2. 在控制台树中,展开包含要编辑的策略的林和域,然后单击“组策略对象”

  3. 右键单击要编辑的策略,然后单击“编辑”

  4. 在控制台树中的“计算机配置”下,依次展开“策略”“Windows 设置”“安全设置”“公钥策略”“中级证书颁发机构”

  5. 如果未显示 CA 证书,则从颁发 CA 导出 CA 证书,然后将证书导入“中级证书颁发机构”。请参阅导出证书

  6. 右键单击 CA 证书,接着单击“属性”,然后单击 OCSP 选项卡。

  7. 键入 OCSP 响应程序 URL,然后单击“添加 URL”

  8. 如果想防止域成员从颁发的证书中指定的 CRL 分发点位置下载 CRL,请选中“禁用证书吊销列表(CRL)”复选框。

    小心

    不推荐禁用 CRL。对 OCSP 和 CRL 均提供 URL 时,OCSP 优先于 CRL。但是,吊销检查进程会确定何时下载和缓存单个 CRL 比多个 OCSP 请求更有效。

  9. 单击“确定”保存更改。

注意

在计算机启动和用户登录过程中,域成员基于组策略刷新间隔定期应用组策略的更改。默认刷新间隔为 90 分钟。若要立即对域成员刷新组策略,请运行 Gpupdate 命令。

其他参考


目录