AD CS：联机证书状态协议支持

AD CS：联机证书状态协议支持

更新日期：2007 年00 月21 日

证书吊销是管理证书颁发机构(CA) 所颁发证书这一过程的必要部分。交流证书状态的最常见方式是分发证书吊销列表(CRL)。在Windows Server® 2008 中，使用传统CRL 的公钥基础结构(PKI) 不是最佳解决方案，可以使用基于联机证书状态协议(OCSP) 的联机响应程序来管理和分发吊销状态信息。

OCSP 支持有什么作用？

使用分发OCSP 响应的联机响应程序以及使用CRL 是传达有关证书有效性信息的两种常用方法之一。与定期分发并且包含有关已吊销或暂停的所有证书信息的CRL 不同，联机响应程序只接收和响应客户端的单个证书状态信息请求。每个请求检索的数据量将保持不变，与存在的已吊销证书数无关。

在许多情况下，联机响应程序处理证书状态请求的效率要高于使用CRL。例如：

•远程连接到网络的客户端既不需要也不具有下载大型 CRL 所需的高速连接。

•网络需要在吊销检查活动中处理较大的峰值，例如在大量用户同时登录或发送已签名的电子邮件时。

•组织需要利用有效的方式分发非 Microsoft CA 颁发的证书的吊销数据。

•组织希望只提供验证个别证书状态请求所需的吊销检查数据，而不希望提供有关所有已吊销或暂停的证书的信息。

谁会对该功能感兴趣？

该功能适用于拥有PKI 的组织，这些PKI 具有一个或多个基于Windows 的CA。

添加一个或多个联机响应程序可以明显提高组织PKI 的灵活性和可伸缩性；因此PKI 架构师、计划者和管理员应该对该功能感兴趣。

若要安装联机响应程序，您必须是将安装联机响应程序的计算机上的管理员。

是否有其他特殊注意事项？

Windows Server 2008 中的联机响应程序包含以下功能：

•Web 代理缓存。联机响应程序 Web 代理缓存是联机响应程序的服务接口。它作为由 Internet Information Services (IIS) 托管的 Internet 服务器 API (ISAPI) 扩展实现。

•对 NONCE 和 NO-NONCE 请求的支持。可以使用 NONCE 和 NO-NONCE 请求的配置选项来防止联机响应程序响应的重播攻击。

•Windows 安装程序集成。可以使用服务器管理器来安装联机响应程序。

•高级加密支持。可以将联机响应程序配置为使用椭圆曲线加密 (ECC) 和 SHA-256 加密对操作进行加密。

•预配置的 OCSP 响应签名证书模板。使用 Windows Server 2008 中的 OCSP 响应签名证书模板可以简化联机响应程序的部署。

•Kerberos 协议集成。可以随着在登录时提示验证服务器证书而进行 Kerberos 密码身份验证，一起处理联机响应程序请求和响应。

Microsoft(R) 联机响应程序基于并符合针对OCSP 的RFC 2560。因此，来自联机响应程序的证书状态响应通常称为OCSP 响应。有关RFC 2560 的详细信息，请访问Internet 工程任务组网站

(/fwlink/?LinkId=67082 )（可能为英文网页）。

联机响应程序提供了哪些新功能？

可以从联机响应程序服务派生出以下两个重要的新功能集：

•联机响应程序。由安装了联机响应程序服务的单台计算机提供的联机响应程序基本功能。

•响应程序数组。多个承载联机响应程序和处理证书状态请求的链接的计算机。

联机响应程序

联机响应程序是运行联机响应程序服务的计算机。托管CA 的计算机也可以配置为联机响应程序，但是，建议您在不同的计算机上维护CA 和联机响应程序。一个联机响应程序可以为一个或多个CA 颁发的证书提供吊销状态信息。可以使用多个联机响应程序分发CA 吊销信息。

为什么此功能非常重要？

依赖于X.509 证书[如安全/多用途Internet 邮件扩展(S/MIME)、安全套接字层(SSL)、加密文件系统(EFS)] 的应用程序和智能卡需要验证证书的状态，只要这些证书用来执行身份验证、签名或加密操作就都如此。证书状态和吊销检查基于以下内容验证证书的有效性：

•时间。颁发的证书只能在固定的时间段内使用，并且只要没有达到证书的截止日期且证书在该日期之前尚未吊销，即认为该证书有效。

•吊销状态。可以因各种原因（如密钥泄漏或暂停）在证书的截止日期之前吊销证书。

CRL 包含由CA 颁发的已经吊销的所有证书的序列号。若要使客户端能够检查证书的吊销状态，它需要下载包含有关已由CA 吊销的所有证书的信息的CRL。

一段时间之后CRL 可能会变得非常大，这会使CA 和信赖方需要大量的网络资源和存储。这可能会导致在更加频繁地分发更新的CRL 和分发它们所需的时间和网络带宽之间进行权衡。如果发布CRL 不太频繁，则客户端必须依赖不太准确的吊销信息。

为了解决CRL 大小问题，已经通过引入分区的CRL、增量CRL 以及间接CRL 进行了大量尝试。所有这些方法都增加了系统的复杂性和成本，而没有提供一个解决方案。

工作方式有何不同？

当使用联机响应程序时，联机响应程序（而不是信赖方）会接收所有证书吊销数据。信赖方向联机响应程序提交一个有关单个证书的状态请求，联机响应程序返回一个已经过数字签名的确定响应，仅指示所请求证书的状态。无论CA 上的证书数据库中存在多少吊销的证书，每个请求检索的数据量都不变。

对此更改应做哪些准备工作？

可以在运行Windows Server 2008 的计算机上安装联机响应程序。应该在CA 之后且颁发任何客户端证书之前安装联机响应程序。证书吊销数据可以从发布的CRL 获得，该CRL 可以来自运行Windows