На вкладке OCSP администраторы добавляют URL-адреса ответчиков протокола OCSP для выдачи сертификатов центра сертификации (ЦС), распространяемых групповой политикой членам домена Active Directory. Благодаря этому организации могут добавлять ответчики OCSP в существующую инфраструктуру открытых ключей (PKI) без повторной выдачи сертификата ЦС или каких-либо сертификатов, выданных центром сертификации ранее. URL-адреса ответчиков OCSP позволяют проверить состояние отзыва сертификатов, выданных центром сертификации.

Для выполнения этой процедуры необходимо быть, как минимум, членом группы Администраторы предприятия.

Добавление URL-адреса ответчика OCSP в сертификат центра сертификации

  1. Нажмите кнопку Пуск и выберите пункт Выполнить. Введите gpmc.msc и нажмите кнопку ОК, чтобы открыть консоль управления групповыми политиками.

  2. В дереве консоли разверните лес и домен, содержащий изменяемую политику, затем щелкните узел Объекты групповой политики.

  3. Щелкните правой кнопкой мыши политику, которую нужно изменить, и выберите команду Изменить.

  4. В дереве консоли в разделе Конфигурация компьютера последовательно разверните узлы Политики, Параметры Windows, Параметры безопасности, Политики открытого ключа и Промежуточные центры сертификации.

  5. Если сертификаты ЦС не отображаются, экспортируйте сертификат ЦС, выдаваемый центром сертификации, и импортируйте его в объект Промежуточные центры сертификации. См. раздел Экспорт сертификата.

  6. Щелкните правой кнопкой мыши сертификат ЦС, выберите команду Свойства и перейдите на вкладку OCSP.

  7. Введите URL-адрес ответчика OCSP и нажмите кнопку Добавить URL.

  8. Если нужно, чтобы члены домена не могли загружать списки отзыва сертификатов из расположений точек распространения этих списков, указанных в выданных сертификатах, установите флажок Отключить списки отзыва сертификатов.

    Внимание!

    Отключать списки отзыва сертификатов не рекомендуется. OCSP имеет преимущество над списками отзыва сертификатов, если предоставлены и те, и другие URL-адреса. Однако в процессе проверки отзыва определяется, когда загрузка и кэширование одного списка отзыва сертификатов целесообразнее нескольких запросов OCSP.

  9. Нажмите кнопку ОК для сохранения изменений.

Примечание

Изменения групповой политики применяются членами домена периодически в соответствии с интервалом обновления групповой политики, во время запуска компьютера и при входе пользователя в систему. По умолчанию интервал обновления составляет 90 минут. Чтобы обновить групповую политику для члена домена немедленно, выполните команду Gpupdate.

Дополнительные источники информации

  • Свойства сертификата: вкладка "Перекрестные сертификаты"
  • Свойства сертификата: вкладка "Высокая надежность"