联机响应程序可以安装在任何运行 Windows Server 2008 R2 Enterprise、Windows Server 2008 R2 Datacenter、Windows Server 2008 Enterprise 或 Windows Server 2008 Datacenter 的计算机上。证书吊销数据可以来自运行 Windows Server 2008 R2、Windows Server 2008、Windows Server 2003 的计算机上的证书颁发机构 (CA),也可以来自非 Microsoft CA。

注意

在安装联机响应程序之前,必须还要在此计算机上安装 Internet 信息服务 (IIS)。

如果此计算机上未安装任何 Active Directory 证书服务 (AD CS) 角色服务(例如 CA),可以使用以下过程。

本地 Administrators 中的成员身份或等效身份是完成此过程所需的最低要求。有关管理公用基础机构 (PKI) 的详细信息,请参阅实现基于角色的管理

若要安装联机响应程序服务,请执行下列操作:
  1. 单击“开始”,指向“管理工具”,然后单击“服务器管理器”

  2. 单击“管理角色”。在“Active Directory 证书服务”下,单击“添加角色服务”。如果已在此计算机上安装了其他 AD CS 角色服务,则在“角色摘要”窗格中选中“Active Directory 证书服务”复选框,然后单击“添加角色服务”

  3. “选择角色服务”页上,选中“联机证书状态协议”复选框。

    此时将出现一条消息,说明必须还要安装 IIS 和 Windows 激活服务 (WAS),以支持 OCSP。

  4. 单击“添加必需的角色服务”,然后单击三次“下一步”

  5. “确认安装选择”页上,单击“安装”

  6. 安装完成后,检查状态页,以验证安装是否成功。

其他注意事项

  • 使用联机响应程序之前,还必须创建吊销配置。请参阅创建吊销配置

  • 默认情况下,IIS 7.0 请求筛选会阻止在增量 CRL 的 URL 中使用的加号 (+)。若要允许增量 CRL 检索,可通过对 IIS 配置 system.web 部分中的 requestFiltering 元素设置 allowDoubleEscaping=true 来修改 IIS 配置。有关 IIS 7.0 请求筛选器配置的详细信息,请参阅“IIS 7.0:在 IIS 7.0 中配置请求筛选器” (https://go.microsoft.com/fwlink/?LinkId=136512)(可能为英文网页)。

    安全 注意

    允许某些字符通过请求筛选器可能会导致安全级别降低,在某些环境下可能无法接受这种情况。有关此类型的威胁的说明,请参阅《编写安全代码》的第 12 章 (https://go.microsoft.com/fwlink/?LinkId=136514)(可能为英文网页)。

其他参考


目录