联机响应程序可以安装在任何运行 Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter、Windows Server 2008 Enterprise 或 Windows Server 2008 Datacenter 的计算机上。证书吊销数据可以来自运行 Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 的计算机上的证书颁发机构 (CA),也可以来自非 Microsoft CA。
注意 | |
在安装联机响应程序之前,必须还要在此计算机上安装 Internet 信息服务 (IIS)。 |
如果此计算机上未安装任何 Active Directory 证书服务 (AD CS) 角色服务(例如 CA),可以使用以下过程。
本地 Administrators 中的成员身份或等效身份是完成此过程所需的最低要求。有关管理公用基础机构 (PKI) 的详细信息,请参阅实现基于角色的管理。
若要安装联机响应程序服务,请执行下列操作: |
单击“开始”,指向“管理工具”,然后单击“服务器管理器”。
单击“管理角色”。在“Active Directory 证书服务”下,单击“添加角色服务”。如果已在此计算机上安装了其他 AD CS 角色服务,则在“角色摘要”窗格中选中“Active Directory 证书服务”复选框,然后单击“添加角色服务”。
在“选择角色服务”页上,选中“联机证书状态协议”复选框。
此时将出现一条消息,说明必须还要安装 IIS 和 Windows 激活服务 (WAS),以支持 OCSP。
单击“添加必需的角色服务”,然后单击三次“下一步”。
在“确认安装选择”页上,单击“安装”。
安装完成后,检查状态页,以验证安装是否成功。
其他注意事项
-
使用联机响应程序之前,还必须创建吊销配置。请参阅创建吊销配置。
- 默认情况下,IIS 7.0 请求筛选会阻止在增量 CRL 的 URL 中使用的加号 (+)。若要允许增量 CRL 检索,可通过对 IIS 配置 system.web 部分中的 requestFiltering 元素设置 allowDoubleEscaping=true 来修改 IIS 配置。有关 IIS 7.0 请求筛选器配置的详细信息,请参阅“IIS 7.0:在 IIS 7.0 中配置请求筛选器”
(
https://go.microsoft.com/fwlink/?LinkId=136512 )(可能为英文网页)。安全 注意 允许某些字符通过请求筛选器可能会导致安全级别降低,在某些环境下可能无法接受这种情况。有关此类型的威胁的说明,请参阅《编写安全代码》的第 12 章 (
https://go.microsoft.com/fwlink/?LinkId=136514 )(可能为英文网页)。