Windows Server 2008: Active Directory OCSP einrichten

OCSP (Online Certificate Status Protocol) ist ein inzwischen auf breiter Basis im Markt akzeptierter Standard. Über dieses Protokoll können Systeme, die eine zertifikatsbasierende Authentifizierung unterstützen oder Zertifikate für andere Zwecke akzeptieren, aktuelle Informationen über den Status dieser Zertifikate anfordern. Dabei geht es in erster Linie darum zu erkennen, ob ein präsentiertes Zertifikat zurückgezogen wurde, also nicht mehr gültig ist. OCSP ist damit eine Erweiterung zu dem etablierten Ansatz der CRLs (Certificate Revocation Lists). Die CRLs sind aber sowohl in Bezug auf die Aktualität als auch die Effizienz ihrer Nutzung nicht überzeugend.

Mit der wachsenden Bedeutung von digitalen Client-Zertifikaten wächst auch die Notwendigkeit, einen effizienten Mechanismus für die Status-Prüfung von Zertifikaten zu haben. Besonders wichtig ist es auch, Zertifikate von Benutzern zu sperren, die nicht mehr im Unternehmen sind. Und genau diese Anforderung erfüllt OCSP.

Das Protokoll wird ab dem Windows Server 2008 unterstützt und setzt die Einrichtung und Konfiguration des entsprechenden Server-Dienstes voraus. Diese Komponente unterstützt übrigens auch ältere CAs auf Basis des Windows Server 2003 und darüber hinaus auch CAs, die nicht auf Microsoft-Technologie basieren.