Windows 2008之PKI实战4:吊销

核心提示：在线吊销服务是Windows Server 2008中引入的一个新组件，是OCSP 协议的Microsoft 部署，Windows 2008之PKI实战4:吊销，该功能加上新的OCSP 应答服务，是一个大的提高与基于CRL的吊销相比，CA必须配置为包含响应程序的URL作为颁发证书的权威信息访问（AIA）扩展的一部分，该

在线吊销服务是Windows Server 2008中引入的一个新组件。是OCSP 协议的Microsoft 部署。该功能加上新的OCSP 应答服务，是一个大的提高与基于CRL的吊销相比。客户端的OCSP 客户端已经被重新设计架构，加上OCSP响应程序。此外，OCSP方法已经被集成到Kerberos和SSL中。

新的OCSP响应程序以扩展性为目的而设计的，能够被部署证书服务器或完全分离的计算机上。该服务也能够被应用到多个群集计算机。该服务器端的组件足够灵活能够从多个源中获取吊销信息。该响应程序支持缓存NONCE和No-NONCE请求。

配置OCSP和使用吊销的演示

部署在线响应程序包含三个步骤：安装在线响应程序服务，准备环境和配置在线响应程序。部署在线响应程序应该在部署CA之后，在部署终端实体证书之前。我们安装OCSP在第一个演示的计算机上，因此我们将检查部署过程的剩余步骤。作为安装过程的一部分，一个名称为OCSP 的虚拟目录在IIS中被创建，用作Web Proxy的ISAPI扩展被注册。您能够手动注册或不注册Web Proxy。因为Web Proxy 注册发生在OCSP安装的时候，我们能够使用下面的命令来不注册它，如图29所示。

Certutil -vocsproot delete

我们能够使用Certutil -vocsproot命令来注册它。如图30所示。

CA必须配置为包含响应程序的URL作为颁发证书的权威信息访问（AIA）扩展的一部分。该URL被OCSP客户端用来验证证书的状态。如图31所示。