Install ADCS Online Responder (OCSP)

Das Online Certificate Status Protocol (OCSP) ist eine gute Ergänzung zu den klassischen CRLs für Online Zertifizierungsstellen. Vorteile sind z.B. schnellere Reaktionszeiten auf den Sperrstatus, und bei grossen CRLs ein geringerer Overhead, da nicht die CRL selbst übertragen werden muss, sondern nur der Sperrstatus des angefragten Zertifikats.

 

Setup OCSP, z.B. auf einem Webserver

 

Danach über den Server-Manager die Konfiguration abschliessen

 

 

Setup Certification Authority

Setup OCSP PKI CA

Die Konfiguration erfolgt in den Eigenschaften der Zertifizierungsstelle, aber nicht bei den Sperrlisten, sondern bei den Stelleninformationen (AIA). Änderungen werden nur für neu ausgestellte Zertifikate übernommen. Für bereits bestehende gäbe es die Möglichkeit, Clients via Group Policy zum Prüfen des OCSP anzuweisen.

 

Setup OCSP PKI CA

Als Adresse wird http verwendet, danach der FQDN oder ein Alias  zum Server, gefolgt von /ocsp

 

Setup OCSP PKI CA

Nach der Übernahme der Konfiguration started der Assistent den Service neu. Alle ab jetzt ausgestellten Zertifikate erhalten den Eintrag in der Stelleninformation

 

Setup OCSP Template

Setup OCSP Template

Setup OCSP Template

Berechtigt auf das Template wird der Computer, der den OCSP Dienst ausführt

 

Setup OCSP Template

Lesen und Registrieren reicht aus, „Automatisch registrieren“ wie z.B. beim Einsatz über GPOs wird nicht benötigt. Der Dienst holt sich im 2 Wochen Takt ein neues OCSP Zertifikat und tauscht es automatisch aus. Wartungsarbeiten sind nicht notwendig.

 

Setup OCSP Template

Danach muss das Template noch an der Zertifizierungsstelle veröffentlicht werden

 

Setup OCSP Template

 

 

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

Setup OCSP Service

 

Überprüfung

mit Certutil lässt sich die Konfiguration ein neu ausgestellten Zertifikats überprüfen

certutil -f -verify -urlfetch <certificate.crt>

certutil OCSP

 

oder mit der GUI

certutil -URL <certificate.crt>
Holger Wache

Holger Wache

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.