OCSP的功能

    在线证书状态协议的反应和使用证书撤消列表是两种较常见的传达证书有效性的方式。与证书撤消列表定期发送证书已被撤销或暂停的信息的方式不同，在线应答能够接收并响应客户对于某个证书的状态信息的请求。

    在许多情况下，网上应答能处理证书状态请求比证书撤销列表更有效率。这些情况举例如下：

    远程网络连接客户要么不需要，要么不能满足下载大型证书撤消列表的高速连接载去修。

    •一个网络需要处理大量的高峰撤销检查活动，例如当大量用户登录或发送签名的电子邮件同时进行时。
    •一个组织需要一个有效率的途径，从非微软的CA派发撤销证书的数据。
    •一个组织需要检查特定撤销资料，而不需要知道所有被撤销或暂时吊销证书的信息。
Windows Server 2008中的OCSP支持包括以下内容。
    •网络代理缓存：网上应答是网上应答网络代理缓存是服务接口的界面。起服务器（ISAP）和扩展互联网信息服务（ IIS）的作用 。
    •支持实时和非实时要求：配置选项为实时和非实时要求，可以用来防止对ocsp反应的攻击。
    • windows安装整合：网上应答，可使用windows服务器管理工具。
    •先进的加密技术支持： ocsp反应可配置为使用椭圆曲线密码系统（ ecc ）和SHA-256加密操作。
    •预ocsp证书范本：部署ocsp响应程序，简化了Windows Server 2008中用ocsp证书模板的程序。
    • kerberos协议整合： ocsp的要求和反应，可用kerberos的认证密码，为临时验证服务。

    微软网上应答，基于并遵守RFC 2560 。基于这个原因，证书的网上应答往往被称为ocsp应答。

OCSP提供的功能

    两个新的重大成套功能，可以来自网上应答服务：

    •在线应答：基本在线响应功能在ocsp服务已经安装了。
    •反应阵列：多电脑相连主办网上应答和加工证书状态的要求。

    网上应答是在一台计算机上运行的ocsp服务，装配有CA的计算机也可以设定为一个在线应答器，一个单一的网上反应可以提供撤销状态信息， CA撤销信息，可以支持一个以上的在线应答。

    应用基于x.509的系统，如S/MIME、SSL、EFS以及智能卡时，无论是执行认证，标志，或加密业务都需要认证和激活证书，证书状态和吊销检查核实证明书的有效性是基于：

    •时间：在证书签的一个固定的时间内认为是有效的，只要到期日，证书没有该日期之前被撤销。
    •撤销现状：出于各种原因，如关键的妥协或中止，证书在到期日期吊销。

    证书撤销清单载有被证书核证机关撤销的证书的序号，客户核对撤销地位证明书时，需要下载载有被CA撤销的证书的名单。

OSCP的组策略设置

    添加了一些组策略设置以加强OCSP和 CRL数据管理，需要添加组策略设置。CRL的有效期与证书一致。如果发布更新之前或者更新可以得到之前，已经超过有效期，证书链的验证可能会失败，即使有在线响应器。这是因为在线响应器可能依靠来自一个过期的CRL的数据。在网络适时延迟发布和CRL接受的情况下，管理员可以使用这些组策略设置延长一个已有CRL或者OCSP响应的使用期限。

    通过进入证书确认路径设置（电脑配置，窗口设置，安全设置和公共密钥政策）的撤消栏，可以延长ORL和OCSP响应的使用期限，并配置以下两种选项：

    •允许延长所有CRL和OCSP响应的有效期限
    •可以延长默认有效期限

    在撤消栏有一个单独选项允许OCSP响应与CRL包含的信息重载。如果客户有一个CRL没有包含撤销状态，这项允许通过调用证书，添加他到当地CRL，仍证实是有效的。尽管不推荐选择该选项，但是一些情况还是有用的，如当地管理员做的撤消改变不是最终结果，直到CA（证书颁发组织）管理员确认改变。

v3的证书模板

    在一种有管理的活动目录与企业认证授权环境下，证书模板提供一个可行的方式以进行证书登记。CA管理员可以为企业CA登记定义蓝图证书。从历史上看，静态V1证书模板与windows 2000一同引入。在windows服务器2003，V2证书模板与自定义一同引入。在Windows服务器2008，更多的证书模板和证书模板特性变得可行。在Windows服务器2008，新的证书模板类型称为v3的模板。

    在windows服务器2008介绍了v3模板使用的最新加密算法。管理员也可以使用v3证书模板确保有关客户和CA通信的CA，在最安全的方式进行。Windows服务器2008还引入了一种完全新的默认模板，让客户使用kerberos认证来验证证书来源。

    由于依赖底层操作系统，Windows服务器2008模板只能被分配给运行在Windows服务器2008上的CA。此外，仅有windows vista客户端计算机和Windows服务器2008计算机可以使用v3证书模板。

    Windows服务器2008和windows vista的一个重要改变添加了下一代加密码方法（CNG）。CNG支持Suite-B算法，使得对加密和签署证书的交互和自定义加密算法成为可能。