Windows 2008之PKI实战4:吊销

核心提示： 为了遵守通用标准来加强证书颁发系统的安全性，同时提供一个安全的平台，Windows 2008之PKI实战4:吊销(5)，某些特定的时间和配置设置被记录到Windows 安全事件日志中，在线响应程序允许配置下面的审计事件，如果需要的话，我们将撤回该证书的吊销，如图40所示，"启动/

为了遵守通用标准来加强证书颁发系统的安全性，同时提供一个安全的平台，某些特定的时间和配置设置被记录到Windows 安全事件日志中。在线响应程序允许配置下面的审计事件，如图40所示。

"启动/停止在线响应程序服务。每次启动/停止ocspsvc.exe服务的事件将被记录。

"对在线响应程序配置的更改。所有在线响应程序配置的更改，包括审计设置更改，将被记录在安全日志中。

"对在线响应程序安全设置的更改。对在线响应程序服务请求和管理接口ACL的所有更改将被记录在安全日志中。

"提交给在线响应程序的请求。所有被在线响应程序服务处理的请求将被记录在安全日志中。该选项在服务上创建了一个高负载，应该针对具体的环境做出评估。只有那些要求在线响应程序签名操作的请求将生成和审计事件；对于前面缓存响应的请求将不会被记录。

在线响应程序的安全设置包括两个新的访问控制实例，它们能够被设置允许或拒绝用户和服务访问请求和管理接口、代理请求。如图41所示。在线响应程序暴露一个请求接口，它允许在线响应程序Web Proxy组件提交证书状态请求给在线响应程序服务。该接口不会被终端客户端使用。

管理OCSP响应程序。在线响应程序暴露一个管理接口，它提供了执行管理任务的能力，象创建和管理吊销配置，以及修改响应程序的全局设置。吊销可以通过两种方法来完成，要么手动通过MMC要么通过OCSP响应程序服务。

我们将从CA MMC 中吊销一张证书。在CA树下有一个已经颁发证书的文件夹。前面我们颁发的证书显示在该文件夹。我们现在能够手动吊销该证书。这将强制我们重新注册该证书。

在吊销的时候我们将被询问吊销的原因。在该演示中，我们将持有该证书因此我们可以撤回吊销。如图42所示。如果一张证书使用其他的原因而非Hold被吊销的话，那么该证书的吊销不能被撤回。

该证书已经被移动到吊销证书文件夹中。从吊销证书文件夹，我们能够撤回该证书的吊销。如图43所示。在证书被吊销的期间，客户端不能加密或解密发送给和来自它的信息。我们仍可以查看证书的信息，如果需要的话。我们将撤回该证书的吊销，将它返回到一个活动的状态。