Windows Server Longhorn: OCSP bei den Zertifikatsdiensten, Teil 2

Array-Konfiguration

Um eine hohe Verfügbarkeit von OCSP zu erreichen, können mehrere Server in einem Array betrieben werden. Standardmäßig findet sich unterhalb von Array Configuration genau ein Server, eben das aktuell verwaltete System. Bei Array Configuration können weitere Systeme mit den OCSP hinzugefügt werden, die dann gleiche Konfigurationen für die Revocation verwenden können. Für die Knoten in einem Array gibt es drei Aktionen:

• Mit Set as Array Controller kann ein System als steuerndes System für ein Array definiert werden. Auf diesem steuernden System werden beispielsweise die Konfigurationsanpassungen durchgeführt.

• Mit Assign Signing Certificate kann das für die Signatur der Nachrichten zu verwendende Zertifikat angegeben werden. Das ist bei der manuellen Festlegung wichtig, kann aber auch erforderlich sein, wenn zwar eigentlich eine automatische Auswahl gewünscht wurde, aber noch kein geeignetes Zertifikat vorhanden war.

• Schließlich kann man sich mit View Provider Properties auch die Einstellungen zu den CRLs für den ausgewählten Provider – also die Zertifizierungsstelle – ansehen und diese bearbeiten.

Damit ist die Konfiguration der OCSP-Infrastruktur abgeschlossen. Soweit die erforderlichen Zertifikate vorhanden sind, können nun OCSPfähige Anwendungen Informationen über die Gültigkeit von digitalen Zertifikaten abfragen. OCSP setzt sich zwar immer mehr durch, aber noch unterstützen bei Weitem nicht alle Anwendungen, die Zertifikate akzeptieren, auch OCSP. Und so manche Anwendung überprüft noch nicht einmal die Gültigkeit von Zertifikaten über die schon lange verfügbaren CRLs.