線上回應必須要有有效的線上憑證狀態通訊協定 (OCSP) 回應簽署憑證才能正常運作。如果您是使用非 Microsoft 的 OCSP 回應程式,也需要這個 OCSP 回應簽署憑證。

將憑證授權單位 (CA) 設定為支援 OCSP 回應程式服務,包括下列步驟:

  1. 設定 OCSP 回應簽署憑證的憑證範本和發佈內容。

  2. 針對任何主控線上回應的電腦設定註冊權限。

  3. 如果這是 Windows Server 2003 CA,請在發行的憑證中啟用 OCSP 延伸。

  4. 新增線上回應或 OCSP 回應程式的位置到 CA 的授權資訊存取延伸中。

  5. 啟用 CA 的 OCSP 回應簽署憑證範本。

用來發行 OCSP 回應簽署憑證的憑證範本必須包含名為「OCSP 無撤銷檢查」的延伸以及 OCSP 簽署應用程式原則。也必須設定權限,使主控線上回應的電腦可以註冊此憑證。

下列程序適用於安裝在執行 Windows Server 2008 R2 或 Windows Server 2008 電腦上的 CA。

若要完成此程序,至少需要 Domain AdminsEnterprise Admins 的成員資格或同等權限。如需管理公開金鑰基礎結構 (PKI) 的相關資訊,請參閱實作以角色為基礎的管理

設定由 Windows Server 2008 R2-based CA 或 Windows Server 2008-based CA 發行的 OCSP 回應簽署憑證的憑證範本

  1. 開啟 [憑證範本] 嵌入式管理單元。

    附註

    如果用來完成這個程序的電腦上沒有安裝 CA 或線上回應,您可能需要安裝 Active Directory 憑證服務 (AD CS) 遠端伺服器管理工具,才能使用 [憑證範本] 嵌入式管理單元。如需遠端伺服器管理工具的相關資訊,請參閱從其他電腦管理線上回應

  2. [OCSP 回應簽署] 範本上按一下滑鼠右鍵,然後按一下 [內容]

  3. 按一下 [安全性] 索引標籤。按一下 [群組或使用者名稱] 下的 [新增]

  4. 按一下 [物件類型],選取 [電腦] 核取方塊,然後按一下 [確定]

  5. 輸入主控線上回應或 OCSP 回應程式服務的電腦名稱或以瀏覽的方式選取電腦,然後按一下 [確定]

  6. 按一下 [群組或使用者名稱] 對話方塊中的電腦名稱,然後選取 [權限] 對話方塊中的 [讀取][註冊] 核取方塊。然後按一下 [確定]

下列程序適用於安裝在執行 Windows Server 2003 電腦上的 CA。這個程序必須在執行 Windows Server 2008 R2 或 Windows Server 2008 的電腦上完成。

若要完成此程序,至少需要 Domain AdminsEnterprise Admins 的成員資格或同等權限。如需管理 PKI 的相關資訊,請參閱實作以角色為基礎的管理

設定由 Windows Server 2003 CA 發行的 OCSP 回應簽署憑證的憑證範本

  1. 開啟 [憑證範本] 嵌入式管理單元。

  2. [OCSP 回應簽署] 範本上按一下滑鼠右鍵,然後按一下 [複製]。按一下 [Windows 2003 Server Enterprise Edition],然後按一下 [確定]

  3. 按一下 [安全性] 索引標籤。按一下 [群組或使用者名稱] 下的 [新增],然後輸入主控線上回應或 OCSP 回應程式服務的電腦名稱或以瀏覽的方式選取電腦。

  4. 按一下 [物件類型],選取 [電腦] 核取方塊,然後按一下 [確定]

  5. 輸入主控線上回應或 OCSP 回應程式服務的電腦名稱或以瀏覽的方式選取電腦,然後按一下 [確定]

  6. 按一下 [群組或使用者名稱] 對話方塊中的電腦名稱,然後選取 [權限] 對話方塊中的 [讀取][註冊] 核取方塊。

附註

預設的 OCSP 回應簽署憑證範本中包含名為「OCSP 無撤銷檢查」的延伸。請勿移除這個延伸,許多用戶端利用它來驗證以簽署憑證簽署的回應是否有效。

如果 CA 是安裝在執行 Windows Server 2003 的電腦上,您必須完成下列程序,才能將 CA 的原則模組設定為發行包含此延伸的憑證。

您必須是本機系統管理員才能完成此程序。如需管理 PKI 的相關資訊,請參閱實作以角色為基礎的管理

準備一台執行 Windows Server 2003 的電腦以發行 OCSP 回應簽署憑證

  1. 在主控 CA 的伺服器上,開啟命令提示字元,並輸入:

    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5

  2. 停止並重新啟動 CA。做法是在命令提示字元中執行下列命令:

    net stop certsvc
net start certsvc

若要設定 OCSP 的 CA,您必須使用 [憑證授權單位] 嵌入式管理單元來完成下列 CA 設定步驟:

  • 新增線上回應或 OCSP 回應程式的位置到授權資訊存取延伸中。

  • 啟用 CA 的憑證範本。

您必須是 CA 系統管理員才能完成此程序。如需管理 PKI 的相關資訊,請參閱實作以角色為基礎的管理

將 CA 設定為支援線上回應或 OCSP 回應程式服務

  1. 開啟 [憑證授權單位] 嵌入式管理單元。

  2. 在主控台樹狀目錄中,按一下 CA 的名稱。

  3. [執行] 功能表,按一下 [內容]

  4. 按一下 [延伸] 索引標籤。

  5. [選取延伸] 清單中,按一下 [授權資訊存取 (AIA)],然後按一下 [新增]

  6. 指定使用者可取得憑證撤銷資料的位置,例如 http://computername/ocsp

  7. 選取 [包含在線上憑證狀態通訊協定 (OCSP) 延伸中] 核取方塊。

  8. 在 [憑證授權單位] 嵌入式管理單元的主控台樹狀目錄中,在 [憑證範本] 上按一下滑鼠右鍵,然後按一下 [要發行的新憑證範本]

  9. 選取 [啟用憑證範本] 中的 [OCSP 回應簽署] 範本,以及任何其他您先前設定的憑證範本,然後按一下 [確定]

  10. 按兩下 [憑證範本],驗證修改的憑證範本是否顯示在清單中。

其他參考資料

目錄