Windows 2008之PKI实战4:吊销

核心提示： 证书模板的一个缺点是不能增加自定义的扩展，在Windows Server 2003中创建和配置OCSP签名模板时会带来一个问题，Windows 2008之PKI实战4:吊销(3)，以及添加id-pkix-ocsp-nocheck扩展的能力，创建这个重复的模板将创建一个版本号为2的模板，版本

证书模板的一个缺点是不能增加自定义的扩展。在Windows Server 2003中创建和配置OCSP签名模板时会带来一个问题，以及添加id-pkix-ocsp-nocheck扩展的能力。创建这个重复的模板将创建一个版本号为2的模板，它能够被Windows Server 2003 CA 颁发，并且它将仍包含id-pkix-ocsp-nocheck扩展。接下来，有必要配置CA来允许自定义扩展被包含在证书请求中。

在我们修改CA注册信息后，我们需要重启CA服务。重启完成后，现在CA已经可以颁发OCSP签名证书了。如图35所示。

如其他模板，Read、Enroll、AuthEnroll、 Write和 Full Control的注册权限必须被配置。

我们将添加SEA-DC-01 计算机对象。

为了允许在线响应程序计算机注册OCSP 应答签名证书，选中访问控制条目中的Read 和 Enroll选项。如图36所示。对于增加的安全，在线响应程序服务运行在Network Service下。这意味着在缺省情况下，它不能访问机器的私有密钥，需要通过修改才允许在线响应程序访问私有密钥。包含在版本号为3的模板中的一个新功能，允许注册客户端配置机器密钥的权限作为注册过程的一部分，来允许运行为Network Service的服务的访问。如图37所示。该功能只能在Windows Vista 和 Windows Server 2008中使用。版本号为3的模板包含一个新特性它允许注册客户端自动修改私有密钥权限来允许NETWORK SERVICE访问。一旦模板被正确配置，需要配置CA来颁发该模板。