Вкладка Подписи на странице Свойства сетевого ответчика показывает алгоритм хэширования, используемый для проверки подписывания ответов сетевого ответчика клиентам.
Возможна настройка следующих параметров подписывания:
- Не запрашивать учетные данные для операций
шифрования. Если существует надежная защита ключа подписывания
с помощью дополнительного пароля, выбор этого параметра означает,
что сетевой ответчик будет переходить в режим ошибки автоматически,
не запрашивая пароль у пользователя.
Примечание Не выбирайте этот параметр, если для защиты закрытых ключей используется аппаратный модуль безопасности (HSM).
- Автоматически использовать обновленные
сертификаты подписи. Предписывает сетевому ответчику
автоматически использовать обновленные сертификаты подписи, не
предлагая администратору назначить их вручную.
- Включить поддержку расширения NONCE.
Предписывает сетевому ответчику проверять и обрабатывать запросы
протокола OCSP, содержащие расширения Nonce. Если в запросе OCSP
присутствует расширение Nonce и этот параметр включен, сетевой
ответчик будет игнорировать любые кэшированные ответы OCSP и
создаст новый ответ, включающий Nonce из запроса. Если этот
параметр отключен и получен запрос с расширением Nonce, сетевой
ответчик отклонит этот запрос с ошибкой «Не санкционировано».
Примечание Клиент OCSP (Майкрософт) не поддерживает расширение Nonce.
- Использовать любой действительный
сертификат подписи OCSP. По умолчанию сетевой ответчик будет
использовать только сертификаты подписи, выпущенные тем же центром
сертификации (ЦА), который выпустил проверяемый сертификат. Этот
параметр позволяет изменить поведение по умолчанию и предписывает
сетевому ответчику использовать любой действительный сертификат,
включающий расширение EKU для подписывания OCSP.
Примечание Клиенты, версии операционной системы Windows которых предшествуют Windows Vista с пакетом обновления 1 (SP1), не поддерживают этот параметр, и запросы состояния сертификата от этих клиентов будут возвращать ошибку при выборе этого параметра.
С помощью следующих параметров идентификатора сетевого ответчика можно выбрать режим включения хэша ключа или субъекта сертификата подписи в ответ:
- Хеш ключа сертификата подписи.
Некоторые поставщики служб шифрования требуют предоставления хеша
ключа сертификата подписи для получения доступа к закрытым
ключам.
- Субъект сертификата подписи. Некоторые
поставщики служб шифрования требуют предоставления субъекта
сертификата подписи для получения доступа к закрытым ключам.