“联机响应程序属性”页上的“签名”选项卡显示哈希算法,使用该算法帮助验证联机响应程序对客户端的响应的签名操作。
可以配置下列签名选项:
-
加密操作时不提示凭据。如果通过其他密码加强对签名密钥的保护,选中此选项意味着联机响应程序不提示用户提供密码,并将自动失败。
注意 如果使用硬件安全模块 (HSM) 保护私钥,则不要选中此选项。
-
自动使用已续订的签名证书。指示联机响应程序自动使用已续订的签名证书,而不要求联机响应程序管理员手动分配。
-
启用 NONCE 扩展支持。指示联机响应程序检查并处理包含 NONCE 扩展的联机证书状态协议 (OCSP) 请求。如果 OCSP 请求中包含 NONCE 扩展,并且选中了此选项,联机响应程序将忽略任何缓存的 OCSP 响应,并将创建一个新响应,包含请求中提供的 NONCE。如果禁用了此选项,并且收到包含 NONCE 扩展的请求,联机响应程序将拒绝请求,并显示“未经授权”的错误。
注意 Microsoft OCSP 客户端不支持 NONCE 扩展。
-
使用任何有效的 OCSP 签名证书。默认情况下,联机响应程序将只使用颁发正在验证的证书的相同证书颁发机构 (CA) 所颁发的签名证书。此选项允许修改默认行为,并指示联机响应程序使用任何现有的包含 OCSP 签名 EKU 扩展的有效证书。
注意 运行早于 Windows Vista Service Pack 1 (SP1) 的 Windows 版本的客户端不支持该选项,如果已选择该选项,则来自这些客户端的证书状态请求将失败。
可以使用下列联机响应程序标识符选项选择是否在响应中包含签名证书的密钥哈希或使用者:
-
签名证书的密钥哈希。某些加密服务提供程序 (CSP) 需要使用签名证书的密钥哈希才能访问私钥。
-
签名证书的使用者。某些 CSP 需要使用签名证书的使用者才能访问私钥。