联机响应程序若要正常运行,必须拥有有效的联机证书状态协议 (OCSP) 响应签名证书。如果使用的是非 Microsoft OCSP 响应程序,也需要此 OCSP 响应签名证书。

将证书颁发机构 (CA) 配置为支持 OCSP 响应程序时涉及下列步骤:

  1. 为 OCSP 响应签名证书配置证书模板和颁发属性。

  2. 为任何将托管联机响应程序的计算机配置注册权限。

  3. 如果是基于 Windows Server 2003 的 CA,则在颁发的证书中启用 OCSP 扩展。

  4. 将联机响应程序或 OCSP 响应程序的位置添加到 CA 上的颁发机构信息访问扩展中。

  5. 对 CA 启用 OCSP 响应签名证书模板。

用于颁发 OCSP 响应签名证书的证书模板必须包含名为“OCSP 无吊销检查”的扩展和 OCSP 签名应用程序策略。还必须将权限配置为允许将托管联机响应程序的计算机注册此证书。

以下过程针对运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机上安装的 CA。

Domain AdminsEnterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关管理公用基础机构 (PKI) 的详细信息,请参阅实现基于角色的管理

为基于 Windows Server 2008 R2 的 CA 或基于 Windows Server 2008 的 CA 颁发的 OCSP 响应签名证书配置证书模板的步骤

  1. 打开“证书模板”管理单元。

    注意

    如果要在未安装 CA 或联机响应程序的计算机上完成此过程,可能需要安装 Active Directory 证书服务 (AD CS) 远程服务器管理工具,才能使用“证书模板”管理单元。有关远程服务器管理工具的详细信息,请参阅从另一台计算机管理联机响应程序

  2. 右键单击“OCSP 响应签名”模板,然后单击“属性”

  3. 单击“安全”选项卡。在“组或用户名”下,单击“添加”

  4. 单击“对象类型”,选中“计算机”复选框,然后单击“确定”

  5. 键入托管联机响应程序或 OCSP 响应程序服务的计算机的名称或通过浏览选择该计算机,然后单击“确定”

  6. “组或用户名”对话框中,单击该计算机的名称,然后在“权限”对话框中,选中“读取”“注册”复选框。然后单击“确定”

以下过程针对运行 Windows Server 2003 的计算机上安装的 CA。必须在运行 Windows Server 2008 R2 或 Windows Server 2008 的计算机上完成该过程。

Domain AdminsEnterprise Admins 中的成员身份或等效身份是完成此过程所需的最低要求。有关管理 PKI 的详细信息,请参阅实现基于角色的管理

若要为基于 Windows Server 2003 的 CA 颁发的 OCSP 响应签名证书配置证书模板,请执行下列操作:

  1. 打开“证书模板”管理单元。

  2. 右键单击“OCSP 响应签名”模板,然后单击“复制”。单击 Windows 2003 Server, Enterprise Edition,然后单击“确定”

  3. 单击“安全”选项卡。在“组或用户名”下,单击“添加”,然后键入托管联机响应程序或 OCSP 响应程序服务的计算机的名称或通过浏览选择该计算机。

  4. 单击“对象类型”,选中“计算机”复选框,然后单击“确定”

  5. 键入托管联机响应程序或 OCSP 响应程序服务的计算机的名称或通过浏览选择该计算机,然后单击“确定”

  6. “组或用户名”对话框中,单击该计算机的名称,然后在“权限”对话框中,选中“读取”“注册”复选框。

注意

默认的 OCSP 响应签名证书模板包含名为“OCSP 无吊销检查”的扩展。不要删除此扩展,许多客户端使用此扩展来验证使用签名证书进行签名的响应是否有效。

如果 CA 安装在运行 Windows Server 2003 的计算机上,则只有完成以下过程,才能将 CA 上的策略模块配置为颁发包含此扩展的证书。

您必须是本地管理员才能完成此过程。有关管理 PKI 的详细信息,请参阅实现基于角色的管理

若要准备使用运行 Windows Server 2003 的计算机颁发 OCSP 响应签名证书,请执行下列操作:

  1. 在托管 CA 的服务器上,打开命令提示符,然后键入:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5

  2. 停止并重新启动 CA。为此,可以在命令提示符下运行下列命令:

    net stop certsvc
net start certsvc

若要为 OCSP 配置 CA,必须使用“证书颁发机构”管理单元完成下列 CA 配置步骤:

  • 将联机响应程序或 OCSP 响应程序的位置添加到颁发机构信息访问扩展中。

  • 对 CA 启用证书模板。

若要完成此过程,您必须是 CA 管理员。有关管理 PKI 的详细信息,请参阅实现基于角色的管理

若要将 CA 配置为支持联机响应程序或 OCSP 响应程序服务,请执行下列操作:

  1. 打开“证书颁发机构”管理单元。

  2. 在控制台树中,单击 CA 的名称。

  3. “操作”菜单上,单击“属性”

  4. 单击“扩展”选项卡。

  5. “选择扩展”列表中,单击“颁发机构信息访问(AIA)”,然后单击“添加”

  6. 指定用户可以从其获取证书吊销数据的位置,例如 http://computername/ocsp

  7. 选中“包括在联机证书状态协议 (OCSP) 扩展中”复选框。

  8. 在“证书颁发机构”管理单元的控制台树中,右键单击“证书模板”,然后单击“要颁发的新证书模板”

  9. “启用证书模板”中,选择“OCSP 响应签名”模板以及任何其他以前配置的证书模板,然后单击“确定”

  10. 双击“证书模板”,然后验证列表中出现的已修改的模板。

其他参考

目录