Windows Server 2008: Active Directory OCSP einrichten

Die Aktivierung der CA

Der nächste Schritt ist die Aktivierung der CA für die Nutzung des OCSP Responders. Diesen Konfigurationsschritt wird ebenfalls in der Anwendung Zertifizierungsstelle durchgeführt.

Wählen Sie zunächst im Kontextmenü der CA den Befehl Eigenschaften, um eine Konfigurationsanpassung für diese CA durchzuführen. Im Register Erweiterungen selektieren Sie anschließend bei Erweiterung auswählen die Option Zugriff auf Stelleninformationen. In der englischen Version heißt diese Funktion Authority Information Access, also Zugriff auf Autoritätsinformationen. Die Übersetzung ist, wie es ja gelegentlich vorkommt, etwas unglücklich gewählt.

Dazu muss zunächst ein Ort vorbereitet werden: Über Hinzufügen können Sie neue Orte für die Anforderung von Informationen konfigurieren. Für OCSP ist die folgende Form gültig:

http://<ServerDNSName>/ocsp

Dabei können Sie auch den FQDN (Fully Qualified Domain Name) angeben. Der Verweis erfolgt in diesem Fall auf die OCSP-Anwendung, die für die Internetinformationsdienste konfiguriert wurde. Für diesen Link sind die beiden Optionen

• In AIA-Erweiterung des ausgestellten Zertifikats einbeziehen

• In Online Certificate Status-Protokoll (OCSP)-Erweiterungen einbeziehen

auszuwählen. Damit legen Sie fest, dass OCSP genutzt werden soll.

Nach der Konfiguration dieser Änderungen starten Sie die Zertifikatsdienste neu, damit der neue Pfad berücksichtigt wird. Diese Anpassung ist also gegebenenfalls zeitlich genau zu planen, um die Unterbrechung wichtiger Dienste zu vermeiden.

Zusätzlich ist es erforderlich, dass Sie mit Neu – Auszustellende Zertifikatvorlage im Kontextmenü der Liste der Zertifikatvorlagen in der Anwendung Zertifizierungsstelle die für OCSP konfigurierte Zertifikatvorlage aktivieren.