【IT168 专稿】 （接上篇）在线吊销服务是Windows Server 2008中引入的一个新组件。是OCSP 协议的Microsoft 部署。该功能加上新的OCSP 应答服务，是一个大的提高与基于CRL的吊销相比。客户端的OCSP 客户端已经被重新设计架构，加上OCSP响应程序。此外，OCSP方法已经被集成到Kerberos和SSL中。

　　新的OCSP响应程序以扩展性为目的而设计的，能够被部署证书服务器或完全分离的计算机上。该服务也能够被应用到多个群集计算机。该服务器端的组件足够灵活能够从多个源中获取吊销信息。该响应程序支持缓存NONCE和No-NONCE请求。

　　配置OCSP和使用吊销的演示

　　部署在线响应程序包含三个步骤：安装在线响应程序服务，准备环境和配置在线响应程序。部署在线响应程序应该在部署CA之后，在部署终端实体证书之前。我们安装OCSP在第一个演示的计算机上，因此我们将检查部署过程的剩余步骤。作为安装过程的一部分，一个名称为OCSP 的虚拟目录在IIS中被创建，用作Web Proxy的ISAPI扩展被注册。您能够手动注册或不注册Web Proxy。因为Web Proxy 注册发生在OCSP安装的时候，我们能够使用下面的命令来不注册它，如图29所示。

　　Certutil -vocsproot delete

　　我们能够使用Certutil -vocsproot命令来注册它。如图30所示。

　　CA必须配置为包含响应程序的URL作为颁发证书的权威信息访问（AIA）扩展的一部分。该URL被OCSP客户端用来验证证书的状态。如图31所示。

　　我们将选择AIA扩展然后增加一个用户能够从那里获得该CA的证书的位置。如图32所示。

　　该位置可以是任何有效的URL或路径。它能够是一个HTTP、LDAP、文件地址、UNC或本地路径。我们将输入在线响应程序的完整URL。如图33所示。当安装在线响应程序的时候，IIS中使用的缺省虚拟目录是OCSP。我们将在在线证书状态协议（OCSP）扩展中包含这个位置。为了让该更改生效活动目录证书服务必须被重新启动。如图34所示。在线响应程序能够使用颁发的CA密钥或委派的签名密钥来签名OCSP的响应。委派的签名证书是：短期的，建议的有效期为两个星期。它包含了Id-pkix-ocsp-nocheck扩展，没有CRL分发点或AIA扩展，并且包含id-kp-OCSPSigning扩展密钥使用（EKU）。在 Windows Server 2003 和Windows Server 2008中，配置OCSP签名模板是不同的。在Windows Server 2008中，引入了版本号为3的模板。新的模板版本允许高级加密支持，除了其他的增强以外。同样在Windows Server 2008中，一个新的证书模板也被添加到活动目录中可用的模板中。该模板名称为OCSP Response Signing，它预配置有必须的扩展和前面列出的属性，它的版本号为3。对模板或CA来说，不需要做任何修改。

　　证书模板的一个缺点是不能增加自定义的扩展。在Windows Server 2003中创建和配置OCSP签名模板时会带来一个问题，以及添加id-pkix-ocsp-nocheck扩展的能力。创建这个重复的模板将创建一个版本号为2的模板，它能够被Windows Server 2003 CA 颁发，并且它将仍包含id-pkix-ocsp-nocheck扩展。接下来，有必要配置CA来允许自定义扩展被包含在证书请求中。

　　在我们修改CA注册信息后，我们需要重启CA服务。重启完成后，现在CA已经可以颁发OCSP签名证书了。如图35所示。

　　如其他模板，Read、Enroll、AuthEnroll、 Write和 Full Control的注册权限必须被配置。