Configuración de OCSP
El cuadro de diálogo Configuración de OCSP muestra las configuraciones del servicio de respuesta de OCSP en el almacén de datos de certificados (CDS). Desde esta página, se pueden agregar configuraciones de OCSP.
casso126figsbres
HID_ocsp-list-and-config
El cuadro de diálogo Configuración de OCSP muestra las configuraciones del servicio de respuesta de OCSP en el almacén de datos de certificados (CDS). Desde esta página, se pueden agregar configuraciones de OCSP.
2
Lista de configuración de OCSP
Este cuadro de diálogo contiene la siguiente información:
Filtrar valores de configuración de OCSP
Es posible acotar lo que se muestra en la lista de configuración de OCSP. Se puede filtrar mediante conjunto de opciones para definir la búsqueda.
Puede aplicar un filtro basado en las siguientes opciones:
- Alias
- Respondedor
- Alias del respondedor
- Alias de firma
Para especificar un filtro de búsqueda
- Vaya al cuadro de diálogo Configuración de OCSP.
- Configure la búsqueda en la sección Filtrado de valores de configuración de OCSP. Siga las instrucciones siguientes:
- Seleccione lo que se desee buscar en el campo Buscar.
- Seleccione un operador en el menú desplegable del campo central.
- Introduzca una cadena que no esté entre comillas en el tercer campo. Esta cadena es el valor del filtro de búsqueda.Para recuperar toda la lista, se debe dejar vacío el tercer campo. Se puede introducir también <ANY> o un asterisco (*). No se puede utilizar el asterisco como un carácter comodín incrustado. Por ejemplo, se puede introducir solo el asterisco, pero no se puede introducirpartner*como un valor.
- Haga clic en Ir para iniciar la búsqueda.
Lista de configuración de OCSP
La lista muestra todos los servicios de respuesta de OCSP disponibles en el almacén de datos de certificados. Preste especial atención a las columnas siguientes:
- AliasMuestra el alias que se asocia con la entrada de lista.
- RespondedorEnumera el nombre del respondedor de OCSP.
Visualización, modificación o supresión de las entradas de la lista
Para visualizar, modificar o suprimir una entrada de la lista, se debe primero seleccionar la entrada y, a continuación, la opción deseada del menú Acción.
Configuración del servicio de respuesta de OCSP
El cuadro de diálogo Agregar configuración de OCSP permite agregar una entrada del servicio de respuesta de OCSP al almacén de datos de certificados.
El cuadro de diálogo contiene los siguientes valores de configuración:
- Alias del emisorAlias del certificado de Autoridad de certificación que proporciona al servicio de OCSP.
- Habilitar proxy HTTP(Opcional) Indica al Servidor de políticas que envíe la solicitud de OCSP al servidor proxy, no al servidor web. Si selecciona esta opción, aparecerá el siguiente campo:
- Ubicación del proxy HTTP:Especifica la dirección URL del servidor proxy. Este valor solo es necesario si HttpProxyEnabled se establece en SÍ. Introduzca una dirección URL que empiece por http://.Nota:No se debe introducir una dirección URL que empiece por https://.
- Nombre de usuario de proxy HTTP:Especifica las credenciales de inicio de sesión para el servidor proxy. Este nombre de usuario debe ser el nombre de un usuario válido del servidor proxy. Introduzca una cadena alfanumérica.
- Contraseña de proxy HTTP:Especifica la contraseña para el nombre de usuario del servidor proxy. Esta contraseña debe ser una entrada válida en la configuración del usuario del proxy. Introduzca una cadena alfanumérica.
- Período de gracia(Opcional) Especifica el período (en días) durante el que se retrasará la invalidación de un certificado después de que se revoque. El período de gracia de OCSP le proporciona tiempo para actualizar certificados, de modo que la configuración no deje de funcionar de repente. Si se define este campo como 0, un certificado revocado se vuelve no válido de inmediato.Si no se especifica ningún valor, el sistema utiliza el período de gracia de la revocación predeterminado especificado en la configuración del almacén de datos de certificados.
- Nombre distintivo del emisor secundario(Opcional) Especifica un nombre distintivo del emisor secundario o un nombre distintivo revertido para el emisor de certificado de CA.
- Ignorar extensión nonce(Opcional) Indica al sistema que no incluya el nonce en la solicitud de OCSP cuando se selecciona esta casilla de verificación. El valor de seguridad (nonce), un número que se utiliza una vez, es un número único. Este número, a veces, se incluye en las solicitudes de autenticación para impedir la reutilización de una respuesta.
- Utilizar extensión AIA(Opcional) Especifica si el sistema utiliza la extensión de Acceso a la información de entidad emisora (AIA) en el certificado para encontrar información de validación.Se pueden utilizar las opciones Utilizar extensión AIA o Ubicación de respondedor, pero tenga en cuenta la siguiente información:
- Si se selecciona el valor de configuración Utilizar extensión AIA con la opción Ubicación del respondedor sin configurar, el sistema utiliza la extensión AIA del certificado para la validación. La extensión tiene que estar en el certificado.
- Si se selecciona el valor de configuración Utilizar extensión AIA y el valor de configuración Ubicación del respondedor también tiene un valor, el sistema utiliza el valor de Ubicación del respondedor para realizar la validación. La opción Ubicación de respondedor tiene prioridad sobre la extensión AIA.
- Si no se selecciona la opción Utilizar extensión AIA, el sistema utiliza el valor de Ubicación de respondedor. Si la extensión AIA existe, el sistema hace caso omiso de ella.
- Ubicación de respondedor(Opcional) Indica la ubicación del servidor del servicio de respuesta de OCSP.Se puede utilizar las opciones Ubicación de respondedor o Utilizar extensión AIA, pero tenga en cuenta las siguientes condiciones:
- Si la opción Ubicación de respondedor se deja en blanco, seleccione Utilizar extensión AIA. Además, debe de haber una extensión AIA en el certificado.
- Si la opción Ubicación de respondedor tiene un valor y se selecciona Utilizar extensión AIA, el sistema utiliza Ubicación de respondedor para efectuar la validación. La opción Ubicación de respondedor tiene prioridad sobre la extensión AIA.
- Si el respondedor OCSP especificado para esta opción está inactivo y se selecciona la opción Utilizar extensión AIA, la autenticación produce un error. El sistema no prueba el respondedor especificado en la extensión AIA del certificado.
Introduzca una dirección URL y número de puerto del servidor del servicio de respuesta. - Alias de certificado del respondedor(Solo obligatorio para la federación). Nombra el alias del certificado que verifica la firma de la respuesta de OCSP. Para que el sistema realice verificación de la firma de la respuesta, especifique un alias para esta opción. De lo contrario, la autoridad de certificación emisora no tiene ninguna configuración de OCSP disponible.Nota:El sistema no utiliza este valor de configuración para autenticar el certificado X.509.Introduzca una cadena que nombre al alias.
- Habilitar solicitud firmada(Opcional) Indica al sistema que firme la solicitud de OCSP generada. Seleccione esta casilla de verificación para utilizar la función de firma.Este valor es independiente de cualquier firma de certificado de usuario y resulta relevante únicamente para la solicitud de OCSP.Este valor de configuración solo es obligatorio si el servicio de respuesta de OCSP requiere solicitudes firmadas. Si selecciona esta opción, aparecerá el siguiente campo:
- Alias de firma:Especifica el alias para el par clave-certificado que firma la solicitud de OCSP que se envía al servicio de respuesta de OCSP. Este par clave-certificado debe estar incluido en el almacén de datos de certificados. Se debe introducir un alias utilizando caracteres alfanuméricos ASCII en minúsculas.
- Codificación de la firmaOpcional. Designa el algoritmo que el Servidor de políticas utiliza al firmar la solicitud de OCSP. Este tipo de valor de configuración no distingue las mayúsculas de las minúsculas.Se debe introducir una de las siguientes opciones: SHA1, SHA224, SHA256, SHA384 o SHA512.Valor predeterminado:SHA1
- Habilitar conmutación por error de la validez del certificado(Opcional) Indica al sistema que realice la conmutación por error entre métodos de validación de certificado de OCSP y CRL. Si se selecciona esta opción, aparece el siguiente campo:
- Método de validación principal:Indica si OCSP o CRL es el método principal que utiliza el Servidor de políticas para validar certificados. Se debe seleccionar OCSP o CRL.Valor predeterminado:OCSP