Configuração OCSP
A página Configuração OCSP exibe as configurações de respondente OCSP no CDS (Certificate Data Store - Repositório de Dados do Certificado). Você pode adicionar configurações OCSP a partir dessa página.
casso126figsbrbr
HID_ocsp-list-and-config
A página Configuração OCSP exibe as configurações de respondente OCSP no CDS (Certificate Data Store - Repositório de Dados do Certificado). Você pode adicionar configurações OCSP a partir dessa página.
2
Lista de configurações OCSP
Essa caixa de diálogo contém as seguintes informações:
Filtrar configurações OCSP
Você pode restringir o que é exibido na lista de configuração OCSP. É possível filtrar com base em um conjunto de opções para definir a pesquisa.
Você pode filtrar com base em:
- Alias
- Respondente
- Alias do respondente
- >Alias da assinatura
Para especificar um filtro de pesquisa
- Inicie na caixa de diálogo Configuração OCSP.
- Configure a pesquisa na seção Filtrar configurações OCSP usando as seguintes diretrizes:
- Selecione o que deseja pesquisar no campo Procurar.
- Selecione um operador no menu suspenso do campo do meio.
- Insira uma sequência de caracteres que não esteja entre aspas no terceiro campo. Essa sequência de caracteres é o valor do filtro de pesquisa.para obter a lista completa, deixe o terceiro campo em branco. Você também pode inserir <ANY> ou um asterisco (*). Não é possível usar o asterisco como um caractere curinga incorporado. Por exemplo, você pode inserir um asterisco sozinho, mas não é possível inserirparceiro*como um valor.
- Clique em Ir para iniciar a pesquisa.
Lista de configurações OCSP
A lista exibe todos os respondentes OCSP disponíveis no CDS. Dedique uma atenção especial às seguintes colunas:
- AliasExibe o alias associado à entrada da lista.
- RespondenteLista o nome do respondente OCSP.
Exibir/modificar/excluir entradas da lista
Exiba, modifique ou exclua uma entrada, selecionando-a na lista e escolhendo uma opção no menu Ação.
Configuração de respondente OCSP
A caixa de diálogo Adicionar configuração OCSP permite adicionar uma entrada do respondente OCSP ao CDS.
A caixa de diálogo contém as seguintes configurações:
- Alias do emissorAlias do certificado da autoridade de certificação que fornece o serviço OCSP.
- Ativar proxy HTTP(Opcional) Avisa que o servidor de políticas deve enviar a solicitação OCSP ao servidor proxy, e não ao servidor web. Se você selecionar essa opção, os seguintes campos são exibidos:
- Localização do HTTP Proxy- especifica o URL do servidor proxy. Este valor só é necessário se HttpProxyEnabled estiver definido como YES. Insira um URL que comece com http://.Observação:não insira um URL que comece com https://.
- Nome de usuário do proxy HTTP- as credenciais de logon para o servidor proxy. Deve ser um nome de um usuário válido do servidor proxy. Insira uma sequência de caracteres alfanuméricos.
- Senha do proxy HTTP- a senha para o nome de usuário do servidor proxy. Essa senha deve ter uma entrada válida na configuração de usuário do proxy. Insira uma sequência de caracteres alfanuméricos.
- Período de cortesia(Opcional) Especifica o período (em dias) para atrasar a invalidação de um certificado depois que ele for revogado. O período de cortesia de OCSP fornece tempo para atualizar os certificados, para que a configuração não pare de funcionar repentinamente. Se você definir esse campo como 0, um certificado revogado se tornará inválido imediatamente.Se você não especificar um valor, o sistema usa o período de cortesia de revogação padrão nas configurações do CDS.
- DN do emissor secundário(Opcional) Especifica um DN do emissor secundário ou um DN revertido para o emissor do certificado de autoridade de certificação.
- Ignorar extensão Nonce(Opcional) Avisa que o sistema não deve incluir o nonce na solicitação OCSP quando você marcar essa caixa de seleção. O nonce (número que é usado uma vez) é um número exclusivo. Esse número, às vezes, é incluído em solicitações de autenticação para impedir a reutilização de uma resposta.
- Usar extensão AIA(Opcional) Especifica se o sistema usará a extensão AIA (Authority Information Access - Acesso a Informações da Autoridade) no certificado para localizar informações de validação.Você pode usar as configurações Usar extensão AIA ou Local do respondente, mas observe as seguintes informações:
- Se você selecionar a configuração Usar extensão AIA, e a opção Local do respondente não estiver configurada, o sistema usará a extensão AIA no certificado para validação. A extensão deve estar no certificado.
- Se você selecionar as configurações Usar extensão AIA, e Local do respondente também tiver um valor, o sistema usará a opção Local do respondente para validação. A configuração Local do respondente tem precedência sobre a extensão AIA.
- Se a configuração Usar extensão AIA não for selecionada, o sistema usará a configuração Local do respondente. Se a extensão AIA existir, o sistema irá ignorá-la.
- Local do respondente(Opcional) Indica o local do servidor do respondente OCSP.É possível usar a configuração Local do respondente ou Usar extensão AIA, mas observe as seguintes condições:
- Se a configuração Local do respondente for deixada em branco, selecione a configuração Usar extensão AIA. Além disso, uma extensão AIA deve estar no certificado.
- Se a configuração Local do respondente tiver um valor e a opção Usar extensão AIA estiver selecionada, o sistema usará a opção Local do respondente para validação. A configuração Local do respondente tem precedência sobre a extensão AIA.
- Se o respondente OCSP especificado para essa configuração estiver desativado e a configuração Usar extensão AIA estiver selecionada, a autenticação falhará. O sistema não testa o respondente especificado na extensão AIA do certificado.
Digite um URL e o número da porta do servidor do respondente. - Alias do certificado do respondente(necessário apenas para federação). Nomeia o alias do certificado que verifica a assinatura da resposta do OCSP. Para que o sistema execute a verificação da assinatura de resposta, especifique um alias para essa configuração. Caso contrário, o emissor da autoridade de certificação não terá uma configuração OCSP disponível.Observação:o sistema não usa essa configuração para a autenticação de certificado X.509.Digite uma sequência de caracteres que nomeia o alias.
- Ativar solicitação assinada(Opcional) Instrui o sistema a assinar a solicitação OCSP gerada. Marque essa caixa de seleção para usar o recurso de assinatura.Esse valor é independente de qualquer assinatura de certificado de usuário e é relevante apenas para a solicitação OCSP.Essa configuração é necessária apenas se o respondente OCSP exigir solicitações assinadas. Se você selecionar essa opção, os seguintes campos são exibidos:
- Alias de assinatura- especifica o alias para o par chave/certificado que assinará a solicitação OCSP enviada a um respondente OCSP. Esse par de chave/certificado deve estar no CDS. Digite um alias usando caracteres ASCII alfanuméricos minúsculos.
- Resumo da assinaturaOpcional. Designa o algoritmo que o servidor de políticas usa ao assinar a solicitação OCSP. Essa configuração não diferencia maiúsculas de minúsculas.Digite uma das seguintes opções: SHA1, SHA224, SHA256, SHA384 e SHA512Padrão:SHA1
- Ativar tolerância a falhas da validade do certificado(Opcional) Instrui o sistema a executar a tolerância a falhas entre os métodos de validação de certificado de CRL e OCSP. Se você selecionar essa opção, os seguintes campos são exibidos:
- Método de validação principal- indica se OCSP ou CRL é o método principal usado pelo servidor de políticas usa para validar certificados. Selecione OCSP ou CRL.Padrão:OCSP