Windows 2008之PKI实战4:吊销
2008-09-03 12:38:55 来源:WEB开发网为了遵守通用标准来加强证书颁发系统的安全性,同时提供一个安全的平台,某些特定的时间和配置设置被记录到Windows 安全事件日志中。在线响应程序允许配置下面的审计事件,如图40所示。
"启动/停止在线响应程序服务。每次启动/停止ocspsvc.exe服务的事件将被记录。
"对在线响应程序配置的更改。所有在线响应程序配置的更改,包括审计设置更改,将被记录在安全日志中。
"对在线响应程序安全设置的更改。对在线响应程序服务请求和管理接口ACL的所有更改将被记录在安全日志中。
"提交给在线响应程序的请求。所有被在线响应程序服务处理的请求将被记录在安全日志中。该选项在服务上创建了一个高负载,应该针对具体的环境做出评估。只有那些要求在线响应程序签名操作的请求将生成和审计事件;对于前面缓存响应的请求将不会被记录。
在线响应程序的安全设置包括两个新的访问控制实例,它们能够被设置允许或拒绝用户和服务访问请求和管理接口、代理请求。如图41所示。在线响应程序暴露一个请求接口,它允许在线响应程序Web Proxy组件提交证书状态请求给在线响应程序服务。该接口不会被终端客户端使用。
管理OCSP响应程序。在线响应程序暴露一个管理接口,它提供了执行管理任务的能力,象创建和管理吊销配置,以及修改响应程序的全局设置。吊销可以通过两种方法来完成,要么手动通过MMC要么通过OCSP响应程序服务。
我们将从CA MMC 中吊销一张证书。在CA树下有一个已经颁发证书的文件夹。前面我们颁发的证书显示在该文件夹。我们现在能够手动吊销该证书。这将强制我们重新注册该证书。
在吊销的时候我们将被询问吊销的原因。在该演示中,我们将持有该证书因此我们可以撤回吊销。如图42所示。如果一张证书使用其他的原因而非Hold被吊销的话,那么该证书的吊销不能被撤回。
该证书已经被移动到吊销证书文件夹中。从吊销证书文件夹,我们能够撤回该证书的吊销。如图43所示。在证书被吊销的期间,客户端不能加密或解密发送给和来自它的信息。我们仍可以查看证书的信息,如果需要的话。我们将撤回该证书的吊销,将它返回到一个活动的状态。
更多精彩
赞助商链接