Configuração OCSP

A página Configuração OCSP exibe as configurações de respondente OCSP no CDS (Certificate Data Store - Repositório de Dados do Certificado). Você pode adicionar configurações OCSP a partir dessa página.
casso13br
HID_ocsp-list-and-config
A página Configuração OCSP exibe as configurações de respondente OCSP no CDS (Certificate Data Store - Repositório de Dados do Certificado). Você pode adicionar configurações OCSP a partir dessa página.
2
Lista de configurações OCSP
Essa caixa de diálogo contém as seguintes informações:
Filtrar configurações OCSP
Você pode restringir o que é exibido na lista de configuração OCSP. É possível filtrar com base em um conjunto de opções para definir a pesquisa.
Você pode filtrar com base em:
  • Alias
  • Respondente
  • Alias do respondente
  • >Alias da assinatura
Para especificar um filtro de pesquisa
  1. Inicie na caixa de diálogo Configuração OCSP.
  2. Configure a pesquisa na seção Filtrar configurações OCSP usando as seguintes diretrizes:
    1. Selecione o que deseja pesquisar no campo Procurar. 
    2. Selecione um operador no menu suspenso do campo do meio.
    3. Insira uma sequência de caracteres que não esteja entre aspas no terceiro campo. Essa sequência de caracteres é o valor do filtro de pesquisa.
      para obter a lista completa, deixe o terceiro campo em branco. Você também pode inserir <ANY> ou um asterisco (*). Não é possível usar o asterisco como um caractere curinga incorporado. Por exemplo, você pode inserir um asterisco sozinho, mas não é possível inserir
      parceiro*
      como um valor.
  3. Clique em Ir para iniciar a pesquisa.
Lista de configurações OCSP
A lista exibe todos os respondentes OCSP disponíveis no CDS. Dedique uma atenção especial às seguintes colunas:
  • Alias
    Exibe o alias associado à entrada da lista.
  • Respondente
    Lista o nome do respondente OCSP.
Exibir/modificar/excluir entradas da lista
Exiba, modifique ou exclua uma entrada, selecionando-a na lista e escolhendo uma opção no menu Ação.
Configuração de respondente OCSP
A caixa de diálogo Adicionar configuração OCSP permite adicionar uma entrada do respondente OCSP ao CDS. 
A caixa de diálogo contém as seguintes configurações:
  • Alias do emissor
    Alias do certificado da autoridade de certificação que fornece o serviço OCSP.
     
  • Ativar proxy HTTP
    (Opcional) Avisa que o servidor de políticas deve enviar a solicitação OCSP ao servidor proxy, e não ao servidor web. Se você selecionar essa opção, os seguintes campos são exibidos:
    • Localização do HTTP Proxy
      - especifica o URL do servidor proxy. Este valor só é necessário se HttpProxyEnabled estiver definido como YES. Insira um URL que comece com http://. 
      Observação:
      não insira um URL que comece com https://. 
    • Nome de usuário do proxy HTTP
      - as credenciais de logon para o servidor proxy. Deve ser um nome de um usuário válido do servidor proxy. Insira uma sequência de caracteres alfanuméricos.
    • Senha do proxy HTTP
      - a senha para o nome de usuário do servidor proxy. Essa senha deve ter uma entrada válida na configuração de usuário do proxy. Insira uma sequência de caracteres alfanuméricos. 
  • Período de cortesia
    (Opcional) Especifica o período (em dias) para atrasar a invalidação de um certificado depois que ele for revogado. O período de cortesia de OCSP fornece tempo para atualizar os certificados, para que a configuração não pare de funcionar repentinamente. Se você definir esse campo como 0, um certificado revogado se tornará inválido imediatamente.
    Se você não especificar um valor, o sistema usa o período de cortesia de revogação padrão nas configurações do CDS.
     
  • DN do emissor secundário 
    (Opcional) Especifica um DN do emissor secundário ou um DN revertido para o emissor do certificado de autoridade de certificação.
     
  • Ignorar extensão Nonce
    (Opcional) Avisa que o sistema não deve incluir o nonce na solicitação OCSP quando você marcar essa caixa de seleção. O nonce (número que é usado uma vez) é um número exclusivo. Esse número, às vezes, é incluído em solicitações de autenticação para impedir a reutilização de uma resposta.
     
  • Usar extensão AIA
    (Opcional) Especifica se o sistema usará a extensão AIA (Authority Information Access - Acesso a Informações da Autoridade) no certificado para localizar informações de validação.
    Você pode usar as configurações Usar extensão AIA ou Local do respondente, mas observe as seguintes informações:
    • Se você selecionar a configuração Usar extensão AIA, e a opção Local do respondente não estiver configurada, o sistema usará a extensão AIA no certificado para validação. A extensão deve estar no certificado.
    • Se você selecionar as configurações Usar extensão AIA, e Local do respondente também tiver um valor, o sistema usará a opção Local do respondente para validação. A configuração Local do respondente tem precedência sobre a extensão AIA.
    • Se a configuração Usar extensão AIA não for selecionada, o sistema usará a configuração Local do respondente. Se a extensão AIA existir, o sistema irá ignorá-la.
       
  • Local do respondente
    (Opcional) Indica o local do servidor do respondente OCSP. 
    É possível usar a configuração Local do respondente ou Usar extensão AIA, mas observe as seguintes condições:
    • Se a configuração Local do respondente for deixada em branco, selecione a configuração Usar extensão AIA. Além disso, uma extensão AIA deve estar no certificado.
    • Se a configuração Local do respondente tiver um valor e a opção Usar extensão AIA estiver selecionada, o sistema usará a opção Local do respondente para validação. A configuração Local do respondente tem precedência sobre a extensão AIA.
    • Se o respondente OCSP especificado para essa configuração estiver desativado e a configuração Usar extensão AIA estiver selecionada, a autenticação falhará. O sistema não testa o respondente especificado na extensão AIA do certificado.
    Se você inserir um local, digite o valor no formato url_do_servidor_do_respondente:número_da_porta.
    Digite um URL e o número da porta do servidor do respondente.
     
  • Alias do certificado do respondente 
    (necessário apenas para federação). Nomeia o alias do certificado que verifica a assinatura da resposta do OCSP. Para que o sistema execute a verificação da assinatura de resposta, especifique um alias para essa configuração. Caso contrário, o emissor da autoridade de certificação não terá uma configuração OCSP disponível.
    Observação:
    o sistema não usa essa configuração para a autenticação de certificado X.509.
    Digite uma sequência de caracteres que nomeia o alias.
     
  • Ativar solicitação assinada
    (Opcional) Instrui o sistema a assinar a solicitação OCSP gerada. Marque essa caixa de seleção para usar o recurso de assinatura. 
    Esse valor é independente de qualquer assinatura de certificado de usuário e é relevante apenas para a solicitação OCSP.
    Essa configuração é necessária apenas se o respondente OCSP exigir solicitações assinadas. Se você selecionar essa opção, os seguintes campos são exibidos:
    • Alias de assinatura
      - especifica o alias para o par chave/certificado que assinará a solicitação OCSP enviada a um respondente OCSP. Esse par de chave/certificado deve estar no CDS. Digite um alias usando caracteres ASCII alfanuméricos minúsculos.
       
    • Resumo da assinatura
      Opcional. Designa o algoritmo que o servidor de políticas usa ao assinar a solicitação OCSP. Essa configuração não diferencia maiúsculas de minúsculas.
      Digite uma das seguintes opções: SHA1, SHA224, SHA256, SHA384 e SHA512
      Padrão:
      SHA1
       
  • Ativar tolerância a falhas da validade do certificado
    (Opcional) Instrui o sistema a executar a tolerância a falhas entre os métodos de validação de certificado de CRL e OCSP. Se você selecionar essa opção, os seguintes campos são exibidos:
    • Método de validação principal
      - indica se OCSP ou CRL é o método principal usado pelo servidor de políticas usa para validar certificados. Selecione OCSP ou CRL.
      Padrão:
      OCSP