联机响应程序可以提供来自多个证书颁发机构 (CA) 和多个 CA 证书的吊销信息。但是,联机响应程序处理的每个 CA 和 CA 证书需要各自的吊销配置。
吊销配置包含响应与使用特定 CA 密钥颁发的证书有关的状态请求所需的所有设置。这些配置设置如下所述:
-
CA 证书。此证书可以位于 Active Directory 域服务 (AD DS) 中或本地证书存储中,也可以从文件中导入。
-
联机响应程序的签名证书。您可以自动选择此签名证书,也可以手动选择此签名证书(添加吊销配置之后需要执行另外的导入步骤),还可以使用所选的 CA 证书同时充当签名证书。
-
吊销提供程序。吊销提供程序将提供此配置使用的吊销数据。对于 Windows Server 2008 R2 或 Windows Server 2008 提供程序,此信息以一个或多个 URL 的形式输入;可以从这些 URL 获得有效的基本 CRL 和增量 CRL。
在开始添加新的吊销配置之前,确保您已获得了前面的列表中的信息。
若要完成此过程,必须在数组中的所有联机响应程序上具有“管理联机响应程序”权限。有关管理公钥基础机构的详细信息,请参阅实现基于角色的管理。
若要将吊销配置添加到联机响应程序中,请执行下列操作: |
打开“联机响应程序”管理单元。
在控制台树中,单击“吊销配置”。
现有吊销配置的列表将出现在详细信息窗格中。
在“操作”窗格中,单击“添加吊销配置”启动添加吊销配置向导。
提供向导中请求的信息。
-
有关“选择 CA 证书位置”页的信息,请参阅吊销配置 CA 证书。
-
有关“选择签名证书”页的信息,请参阅吊销配置签名证书。
-
有关“选择 CA 证书位置”页的信息,请参阅吊销配置 CA 证书。
输入了所有信息之后,单击“完成”,然后单击“是”完成安装过程。
通过选择吊销配置并在“操作”窗格中单击“编辑属性”,可以修改现有吊销配置的属性,查看其 CA 证书,或删除吊销配置。
可以修改吊销配置的下列属性:
-
本地 CRL。有关详细信息,请参阅使用本地 CRL 管理吊销数据。
-
吊销提供程序。有关详细信息,请参阅吊销提供程序属性。
-
签名。有关详细信息,请参阅吊销提供程序签名。