線上憑證狀態通訊協定 (OCSP) 回應簽署憑證必須由用於簽署終端實體憑證的相同憑證授權單位 (CA) 金鑰來簽署,這些終端實體憑證的狀態是由他們提供。

CA 金鑰更新後,CA 將使用新的金鑰簽署剛發行的憑證。從 CA 憑證更新後到原始 CA 憑證到期的這一段時間內,CA 無法發行或更新 OCSP 回應簽署憑證,這可能會使得線上回應無法簽署 OCSP 回應。

若要解決這個問題,可以設定 Windows Server 2008 R2-based CA 和 Windows Server 2008-based CA 以修改預設行為,並允許使用更新後的 CA 金鑰發行 OCSP 回應簽署憑證。

您必須是主控 CA 的伺服器上的系統管理員,才能完成此程序。如需管理公開金鑰基礎結構 (PKI) 的相關資訊,請參閱實作以角色為基礎的管理

允許使用現有 CA 金鑰更新 OCSP 回應簽署憑證
  1. 在 CA 電腦上開啟命令提示字元,並輸入:

    certutil -setreg ca\UseDefinedCACertInRequest 1

  2. 按 ENTER。

  3. 重新啟動 CA 服務。

其他參考資料


目錄