联机证书状态协议 (OCSP) 响应签名证书需要通过用于为提供其状态的最终实体证书签名的相同证书颁发机构 (CA) 密钥进行签名。

续订了 CA 密钥之后,CA 将使用新密钥为新颁发的证书签名。在续订 CA 证书时与原 CA 证书过期日期之间这个阶段,CA 不能颁发或续订 OCSP 响应签名证书,这样可能会使联机响应程序无法为 OCSP 响应签名。

若要解决此问题,可以将基于 Windows Server 2008 R2 的 CA 和基于 Windows Server 2008 的 CA 配置为修改默认行为并允许使用续订的 CA 密钥颁发 OCSP 响应签名证书。

若要完成此过程,您必须是托管 CA 的服务器上的管理员。有关管理公用基础机构 (PKI) 的详细信息,请参阅实现基于角色的管理

若要允许使用现有 CA 密钥续订 OCSP 响应签名证书,请执行下列操作:
  1. 在 CA 计算机上,打开命令提示符并键入:

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. 按 Enter。

  3. 重新启动 CA 服务。


目录