OCSP(온라인 인증서 상태 프로토콜) 유효성 검사
OCSP는 사용자 인증서가 유효한지 확인합니다. OCSP는 OCSP 응답자를 사용하여 X.509 클라이언트 인증서의 해지 상태를 확인합니다. OCSP 응답자는 인증서 유효성 검사 데이터를 집계하고 특정 인증서에 대한 OCSP 요청에 응답하여 실시간으로 이 확인 작업을 수행합니다. OCSP에는 CRL 해지보다 약간 더 적은 오버헤드가 발생합니다. 클라이언트 측에서 최신 인증서 상태 정보를 유지하기 위해 CRL을 계속 다운로드할 필요가 없습니다.
casso127kkr
OCSP는 사용자 인증서가 유효한지 확인합니다. OCSP는 OCSP 응답자를 사용하여 X.509 클라이언트 인증서의 해지 상태를 확인합니다. OCSP 응답자는 인증서 유효성 검사 데이터를 집계하고 특정 인증서에 대한 OCSP 요청에 응답하여 실시간으로 이 확인 작업을 수행합니다. OCSP에는 CRL 해지보다 약간 더 적은 오버헤드가 발생합니다. 클라이언트 측에서 최신 인증서 상태 정보를 유지하기 위해 CRL을 계속 다운로드할 필요가 없습니다.
OCSP 검사를 구현하기 위해 정책 서버는
SMocsp.conf
라는 텍스트 기반 구성 파일을 사용합니다. 이 파일은 policy_server_home
/config 디렉터리에 있으며 OCSP 기능을 사용하려면 이 파일이 있어야 합니다.참고:
X.509 인증 체계에 대한 OCSP를 구성하려면 SMocsp.conf 파일만 사용하십시오. 관리 UI에서는 "OCSP 구성" 옵션을 사용하지 마십시오. 해당 UI 옵션은 CDS만을 구성합니다.SMocsp.conf 파일에는 하나 이상의 OCSP 응답자가 작동하는 방식을 정의하는 설정이 포함됩니다. 사용자 인증서가 유효한지 여부를 확인할 때 정책 서버는 SMocsp.conf 파일에서 발급자 DN을 찾습니다. 발급자 DN을 찾은 경우 발급자 DN과 연결된 지정된 OCSP 응답자를 사용하여 인증서 상태 검사가 수행됩니다. 정책 서버는 OCSP 검사만 수행하고 정책 서버가 발급자 DN을 찾은 경우 인증서가 유효하다고 간주합니다. 발급자 DN이 없어서 인증서가 유효한 것으로 간주되므로 OCSP 유효성 검사가 필요하지 않게 됩니다.
OCSP 요청에 서명할 수 있지만 이는 선택적인 기능입니다.
OCSP 응답자가 정책 서버에 응답을 반환하면 정책 서버는 기본적으로 서명된 응답의 유효성을 검사합니다. SMocsp.conf 파일의 몇 가지 설정에는 응답 확인이 사용되도록 설정하는 구성이 필요합니다.
참고:
관리 UI에서 CRL 검사가 사용되도록 설정된 경우 정책 서버는 기본적으로 SMocsp.conf 파일의 존재 여부에 관계없이 CRL 검사를 사용합니다. 장애 조치가 사용되도록 설정하고 OCSP를 기본 유효성 검사 방법으로 설정한 경우에만 OCSP가 CRL 검사보다 우선합니다. 장애 조치는 OCSP 구성 파일에서 구성됩니다.OCSP 사전 요구 사항
인증서 유효성 검사에 OCSP를 사용하려면 다음 구성 요소를 설정하십시오.
- CA(인증 기관) 환경을 설정하십시오.
- OCSP 응답자를 설정하십시오.
- 정책 서버로 반환된 COSP 응답자의 서명을 확인하는 OCSP 트러스트된 응답자 인증서를 저장하도록 LDAP 디렉터리를 구성하십시오. OCSP 트러스트된 응답자 인증서는 하나의 트러스트된 유효성 검사 인증서 또는 여러 인증서의 모음입니다.이러한 인증서는 OCSP 트랜잭션과 별도의 통신에서 가져올 수 있습니다.트러스트된 인증서 또는 인증서 모음을 저장하려면 관리 UI의 "사용자 디렉터리" 섹션에서 LDAP 디렉터리를 구성하십시오. 사용자 디렉터리가 있으면 정책 서버가 사용자 디렉터리에 연결하고 인증서 또는 인증서 모음을 찾아서 응답 서명을 확인할 수 있습니다. 인증서 모음을 저장할 때는 모든 인증서가 저장되도록 디렉터리 항목에 다중 값 바이너리 특성을 사용하십시오.OCSP 응답자에는 서명 유효성 검사 인증서와 응답이 포함될 수 있습니다. 이 경우 정책 서버는 LDAP 디렉터리의 트러스트된 인증서를 사용하여 인증서 및 응답 서명을 확인합니다. 서명 유효성 검사 인증서가 응답에 없는 경우 정책 서버는 LDAP 디렉터리의 인증서 또는 인증서 모음을 사용하여 응답의 서명을 확인합니다.OCSP를 구성할 때는 SMocsp.conf 파일의 ResponderCertEP 설정에 인증서 또는 인증서 모음의 위치를 지정하십시오.정책 서버는 SHA-1 및 SHA-2 알고리즘 제품군(SHA224, SHA256, SHA384, SHA512)을 사용하여 서명된 OCSP 응답을 지원합니다.
- 사용자 인증서를 발급한 CA 인증서를 LDAP 디렉터리에 저장하십시오. 이 CA 인증서는 사용자 인증서를 확인합니다. 이 인증서를 OCSP 트러스트된 응답자 인증서를 저장하는 LDAP 디렉터리 또는 다른 LDAP 디렉터리에 저장할 수 있습니다.
- Single Sign-OnOCSP 구성 파일(SMocsp.conf)을 구성하십시오. 샘플 구성 파일 SMocsp.Sample.conf가 정책 서버와 함께 설치됩니다. 이 파일을 복사하고 이름을 SMocsp.conf로 바꾼 다음 필요에 따라 수정하십시오.UNIX 운영 플랫폼의 경우에는 파일 이름의 대/소문자 구분을 유지해야 합니다.
- (선택 사항) 정책 서버가 OCSP 요청에 서명하기 위해 사용하는 개인 키/인증서 쌍을 정책 서버에서 사용할 수 있는지 확인하십시오. 이 키/인증서 쌍을 인증서 데이터 저장소에 저장하십시오.
OCSP 구성 파일 생성
정책 서버는 OCSP 검사를 구축하는 데 SMocsp.conf라는 파일을 사용합니다. 이 파일은 하나 이상의 OCSPResponder 레코드가 있는 ASCII 파일입니다.
SMocsp.conf 파일은
siteminder_home
/config 디렉터리에 있어야 합니다. 구성의 편의를 위해 정책 서버와 함께 샘플 파일(SMocsp.Sample.conf)이 config 폴더에 설치됩니다. OCSP를 환경에 맞게 구성하려면 샘플 파일을 복사하고 이름을 SMocsp.conf로 바꾸십시오.참고:
UNIX 플랫폼의 경우 파일 이름의 대/소문자 구분을 유지하십시오.다음은 하나의 OCSPResponder 항목이 있는 SMocsp.conf 파일의 예입니다.
참고:
이 샘플 파일은 사용 가능한 모든 설정을 보여 줍니다. 하지만 모든 설정이 필요한 것은 아닙니다.[ OCSPResponder IssuerDN C=US,ST=Massachusetts,L=Boston,O=,OU=QA,CN=Issuer,[email protected] AlternateIssuerDN C=US,ST=New York,L=Islandia,O=,OU=QA,CN=Issuer,[email protected] CACertDir 10.1.22.2:389 CACertEP uid=caroot,dc=systest,dc=com ResponderCertDir 10.2.11.1:389 ResponderCertEP cn=OCSP,ou=PKI,ou=Engineering,o=ExampleInc,c=US ResponderCertAttr cacertificate ResponderLocation http://10.12.2.4:389 AIAExtension NO HttpProxyEnabled YES HttpProxyLocation http://10.11.2.5:80 HttpProxyUserName proxyuser1 HttpProxyPassword letmein SignRequestEnabled YES SignDigest SHA256 Alias defaultenterpriseprivatekey IgnoreNonceExtension NO PrimaryValidationMethod OCSP EnableFailover YES ResponderCertAlias cert1 ResponderGracePeriod 0 ]
SMocsp.conf 파일을 수정하기 위한 지침은 다음과 같습니다.
- 설정의 이름은 대/소문자가 구분되지 않는 경우도 있습니다. 항목의 대/소문자 구분 여부는 특정한 설정에 따라 다릅니다.
- 파일의 설정이 비어 있으면 정책 서버에서 오류 메시지를 보냅니다. 이 메시지는 항목이 올바르지 않음을 나타냅니다. 정책 서버는 이 설정을 무시합니다. 설정을 비워 두려면 메시지를 무시하십시오.
- 설정 이름 앞에 공백을 두지 마십시오.
파일의 설정은 다음과 같습니다.
- OCSPResponder필수입니다. 항목이 OCSP 응답자 레코드임을 나타냅니다. 각 OCSP 응답자 레코드는 OCSPResponder라는 이름으로 시작해야 합니다.
- IssuerDN필수입니다. 인증서 발급자의 DN을 지정합니다. 이 값은 파일의 각 OCSP 응답자 레코드에 레이블을 지정합니다.항목:인증서의 발급자 DN 값입니다.
- AlternateIssuerDN선택 사항입니다. 보조 IssuerDN 또는 리버스 DN을 지정합니다.
- CACertDir필수입니다. 사용자 인증서를 발급하는 CA 인증서가 저장된 CA 인증서 디렉터리의 이름을 지정합니다.이 디렉터리를 관리 UI에서Single Sign-On사용자 디렉터리로 구성하여 정책 서버가 이 디렉터리에 연결할 수 있도록 해야 합니다.사용자 디렉터리의 올바른 IP 주소 및 포트 번호를 입력합니다.
- CACertEP필수입니다. CA 인증서가 있는 CA 인증서 디렉터리의 진입점을 지정합니다.인증서 디렉터리의 진입점을 나타내는 문자열을 입력합니다.
- ResponderCertDir필수입니다. 응답자 인증서가 저장된 LDAP 디렉터리를 지정합니다.이 디렉터리를 관리 UI에서Single Sign-On사용자 디렉터리로 구성하여 정책 서버가 이 디렉터리에 연결할 수 있도록 해야 합니다.디렉터리의 올바른 IP 주소 및 포트 번호를 입력합니다.
- ResponderCertEP필수입니다. 응답자 인증서가 있는 LDAP 디렉터리의 진입점을 지정합니다. 응답자 인증서 디렉터리는 ResponderCertDir 설정에서 지정합니다.서명 유효성 검사 인증서는 응답 서명 또는 중간 인증서 모음을 직접 확인하는 인증서입니다.OCSP 응답자에는 서명 유효성 검사 인증서와 응답이 포함될 수 있습니다. 이 경우 정책 서버는 LDAP 디렉터리의 트러스트된 인증서를 사용하여 응답 서명 및 인증서를 확인합니다. 서명 유효성 검사 인증서가 응답에 없는 경우 정책 서버는 LDAP 디렉터리의 인증서 또는 인증서 모음을 사용하여 응답 서명만 확인합니다.인증서 또는 인증서 모음이 있는 디렉터리의 진입점을 나타내는 문자열을 입력하십시오.
- ResponderCertAttr필수입니다. 정책 서버가 ResponderCertDir 설정에 지정된 응답자 인증서 디렉터리에서 응답자 인증서를 조회하기 위해 사용하는 LDAP 디렉터리 특성을 나타냅니다.
- ResponderLocation선택 사항입니다. OCSP 응답자 서버의 위치를 나타냅니다.ResponderLocation 설정 또는 AIAExtension 설정을 사용할 수 있지만 다음 사항에 유의하십시오.
- ResponderLocation 설정이 비어 있거나 SMocsp.conf 파일에 없는 경우에는 AIAExtension 설정을 YES로 설정하십시오. 또한 AIA 확장이 인증서에 있어야 합니다.
- ResponderLocation 설정에 값이 있고 AIAExtension이 YES로 설정된 경우 정책 서버는 유효성 검사에 ResponderLocation을 사용합니다. ResponderLocation 설정은 AIAExtension보다 우선 순위가 높습니다.
- 이 설정에 대해 지정된 OCSP 응답자가 중지되고 AIAExtension이 YES로 설정된 경우에는 인증이 실패합니다. 정책 서버는 인증서의 AIA 확장에 지정된 응답자를 시도하지 않습니다.
responder_server_url:port_number의 형식으로 입력하십시오.응답자 서버의 URL 및 포트 번호를 입력하십시오. - AIAExtension선택 사항입니다. 정책 서버가 유효성 검사 정보를 찾기 위해 인증서의 AIA(Authority Information Access) 확장을 사용하는지 여부를 지정합니다.AIAExtension 또는 ResponderLocation 설정을 사용할 수 있으며 다음 사항에 유의하십시오.
- AIAExtension이 YES로 설정되고 ResponderLocation이 구성되지 않은 경우 정책 서버는 인증서의 AIA 확장을 유효성 검사에 사용합니다. 확장은 인증서에 있어야 합니다.
- AIAExtension이 YES로 설정되고 ResponderLocation에 값이 있는 경우 정책 서버는 ResponderLocation을 유효성 검사에 사용합니다. ResponderLocation 설정은 AIAExtension보다 우선 순위가 높습니다.
- AIAExtension이 NO로 설정된 경우 정책 서버는 ResponderLocation 설정을 사용합니다. 정책 서버는 AIA 확장이 있는 경우 이를 무시합니다.
기본값:NO - HttpProxyEnabled선택 사항입니다. OCSP 요청을 웹 서버가 아니라 프록시 서버로 전송하도록 정책 서버에 지시합니다.YES 또는 NO를 입력하십시오.기본값:NO
- HttpProxyLocation선택 사항입니다. 프록시 서버의 URL을 지정합니다. 이 값은 HttpProxyEnabled가 YES로 설정된 경우에만 필요합니다.http://로 시작하는 URL을 입력하십시오.참고:https://로 시작하는 URL을 입력하지 마십시오.
- HttpProxyUserName선택 사항입니다. 프록시 서버에 대한 로그인 자격 증명의 사용자 이름을 지정합니다. 이 사용자 이름은 유효한 프록시 서버 사용자의 이름이어야 합니다. 이 값은 HttpProxyEnabled가 YES로 설정된 경우에만 필요합니다.영숫자 문자열을 입력하십시오.
- HttpProxyPassword선택 사항입니다. 프록시 서버 사용자 이름의 암호를 지정합니다. 이 값은 일반 텍스트로 표시됩니다. 이 값은 HttpProxyEnabled가 YES로 설정된 경우에만 필요합니다.영숫자 문자열을 입력하십시오.
- SignRequestEnabled선택 사항입니다. 정책 서버에 생성된 OCSP 요청에 서명하도록 지시합니다. 서명 기능을 사용하려면 이 값을 Yes로 설정하십시오.이 값은 사용자 인증서 서명과 별개이며 OCSP 요청에만 사용됩니다.참고:이 설정은 OCSP 응답자가 서명된 요청을 요구하는 경우에만 필요합니다.YES 또는 NO를 입력하십시오.기본값:NO
- SignDigest선택 사항입니다. 정책 서버가 OCSP 요청에 서명할 때 사용하는 알고리즘을 지정합니다. 이 설정은 대/소문자를 구분하지 않습니다. 이 설정은 SignRequestEnabled 설정을 YES로 설정한 경우에만 필요합니다.SHA1, SHA224, SHA256, SHA384, SHA512 중 옵션 하나를 입력하십시오.기본값: SHA1
- 별칭선택 사항입니다. OCSP 응답자에 전송되는 OCSP 요청에 서명하는 키/인증서 쌍의 별칭을 지정합니다. 이 키/인증서 쌍은Single Sign-On인증서 데이터 저장소에 있어야 합니다.참고:별칭은 SignRequestEnabled 설정을 YES로 설정한 경우에만 필요합니다.소문자 ASCII 영숫자 문자를 사용하여 별칭을 입력하십시오.
- IgnoreNonceExtension선택 사항입니다. OCSP 요청에 nonce를 포함하지 않도록 정책 서버에 지시합니다. nonce(한 번 사용되는 숫자)는 응답이 재사용되는 것을 방지하기 위해 인증 요청에 가끔 포함되는 고유한 숫자입니다. 이 매개 변수를 Yes로 설정하면 정책 서버는 OCSP 요청에 nonce를 포함하지않습니다.YES 또는 NO를 입력하십시오.기본값:NO
- PrimaryValidationMethod선택 사항입니다. 정책 서버가 인증서의 유효성을 검사하기 위해 사용할 기본 방법을 OCSP 또는 CRL 중에서 지정합니다. 이 설정은 EnableFailover 설정을 Yes로 설정한 경우에만 필요합니다.OCSP 또는 CRL을 입력하십시오.기본값:OCSP
- EnableFailoverOCSP 및 CRL 인증서 유효성 검사 방법 간에 장애 조치를 수행하도록 정책 서버에 지정합니다.YES 또는 NO를 입력하십시오.기본값:NO
- ResponderCertAlias(페더레이션에만 필요). OCSP 응답의 서명을 확인하는 인증서의 별칭 이름을 지정합니다. 정책 서버가 응답 서명 유효성 검사를 수행하도록 하려면 이 설정에 대한 별칭을 지정하십시오. 그렇게 하지 않으면 CA 발급자가 사용할 수 있는 OCSP 구성이 없습니다.참고:정책 서버는 X.509 인증서 인증에 이 설정을 사용하지 않습니다.별칭 이름을 지정하는 문자열을 입력하십시오.SMocsp.conf 파일이 로드된 후 각 발급자에게 OCSP 구성이 있는지 여부를 확인할 수 있습니다. 다음은 샘플 상태 메시지입니다.The SMocsp.conf file was loaded. OCSP configuration was added for the following issuer aliases: ocspcacert ocspcacert1 ocspcacert2상태 메시지의 발급자 별칭은 데이터 저장소에 CA 인증서를 추가할 때 관리 UI에서 지정한 별칭을 가리킵니다. 발급자 별칭이 목록에 없으면 SMocsp.conf 및 cds.log 파일을 확인하십시오. 로그 파일은 siteminder_home\log에 있습니다.
- RevocationGracePeriod(선택 사항) 인증서 해지 후 무효화를 지연할 기간(일)을 지정합니다. OCSP 유예 기간은 구성이 갑자기 중지되지 않도록 사용자에게 인증서를 업데이트할 시간을 부여합니다. 값이 0이면 인증서가 해지될 때 즉시 무효화됩니다.이 필드에 값을 지정하지 않으면 정책 서버는 관리 UI의 기본 해지 유예 기간 설정을 사용합니다. "인프라" > "X509 인증서 관리" > "인증서 관리"로 이동하여 기본 설정을 확인할 수 있습니다.기본값:0
OCSP 검사 구성
사용자가 유효하지 않은 클라이언트 인증서로 보호된 리소스에 액세스할 수 없도록 OCSP 검사를 구성하십시오.
참고:
OCSP 검사가 사용되도록 설정하기 전에 사용 환경에 인증서 인증을 설정하십시오.정책 서버는 SHA-1 및 SHA-2 알고리즘 제품군(SHA224, SHA256, SHA384, SHA512)을 사용하여 서명된 OCSP 응답을 지원합니다.
다음 단계를 수행하십시오.
- policy_server_home/config로 이동합니다.샘플 파일 SMocsp.Sample.conf는 정책 서버와 함께 config 디렉터리에 설치됩니다.
- 샘플 구성 파일을 복사하고 이름을 SMocsp.conf로 지정합니다.UNIX 플랫폼에서는 파일 이름의 대/소문자가 구분되지만 Windows 플랫폼에서는 그렇지 않습니다.
- 텍스트 편집기에서 파일을 엽니다.
- 인증서 매핑에 지정된 IssuerDN과 일치하는 각 IssuerDN에 대해 고유 OCSPResponder 항목을 이 파일에 추가합니다.중요!각 발급자 DN에 대해 응답자 레코드를 구성하지 않을 경우 정책 서버는 인증서의 유효성을 확인하지 않고 사용자를 인증합니다.
- 파일을 저장합니다.
- 정책 서버를 다시 시작합니다.
- 관리 UI에 로그온합니다.
- "인프라", "디렉터리"를 차례로 선택합니다.
- "인증서 매핑" 옵션을 확장합니다.
- "인증서 매핑 만들기" 또는 "인증서 매핑 수정"을 선택합니다."인증서 매핑" 대화 상자가 열립니다.
- 유효성 검사 방법으로 OSCP만 사용하려는 경우 "CRL 검사 수행" 확인란의 선택을 취소합니다. 장애 조치를 사용하려는 경우에는 CRL 검사 기능을 사용해야 합니다.사용자 인증서의 발급자가 인증서 매핑과 일치하고 CRL 검사 기능이 사용되는 경우 정책 서버는 OCSP가 아니라 CRL 검사를 사용합니다. 장애 조치가 사용되도록 설정할 경우에는 예외적으로 CRL 검사가 OCSP보다 우선하지 않을 수 있습니다. 장애 조치가 사용될 경우 정책 서버는 구성된 기본 유효성 검사 방법을 사용합니다.
- 변경 내용을 저장한 다음 관리 UI를 종료합니다.
- (선택 사항) 정책 서버가 OCSP 요청에 서명하도록 구성합니다.
이제 OCSP가 사용되도록 설정되었습니다. OCSP가 사용되지 않도록 설정하려면 SMocsp.conf 파일의 이름을 변경하십시오.
HTTP 프록시를 통해 OCSP 응답자에 액세스
OCSP 요청은 HTTP 연결을 통해 이루어지며, 인증서 유효성 검사를 위해 OCSP 응답자에 요청하려면 HTTP GET이 필요합니다.
많은 엔터프라이즈 환경에서 HTTP 트래픽은 HTTP 프록시를 거칩니다. 정책 서버가 HTTP 프록시를 통해 OCSP 요청을 보내도록 하려면 SMocsp.conf 파일에서 프록시 설정을 구성하십시오.
다음 단계를 수행하십시오.
- 기존 SMocsp.conf 파일을 편집하거나 정책 서버 config 디렉터리policy_server_home/config에 이 파일을 생성합니다.
- 다음과 같이 설정을 편집합니다.
- HttpProxyEnabled YES
- HttpProxyLocationproxy_server_URL
- HttpProxyUserNameuser_login_name
- HttpProxyPasswordpassword_for_login
- 정책 서버를 다시 시작합니다.
OCSP 요청 서명을 위한 사전 요구 사항 구성(선택 사항)
정책 서버는
Single Sign-On
인증서 인증 체계를 사용할 때 OCSP 요청에 서명할 수 있습니다. 요청 서명은 OCSP 응답자가 서명된 요청서를 요구할 경우에만 필요합니다.다음 단계를 수행하십시오.
OCSP 서명을 구성하기 전에 다음 사전 요구 사항 태스크를 완료하십시오.
- OCSP 검사를 구성합니다.
- 요청에 서명하는 키/인증서 쌍을 인증서 데이터 저장소에 추가합니다. 관리 UI를 사용하여 이 태스크를 수행하십시오.키/인증서 쌍을 추가할 때 별칭을 지정합니다. 정책 서버는 별칭을 사용하여 인증서 데이터 저장소의 인증서 항목을 식별합니다. 별칭을 지정할 때 다음 제한 사항에 주의하십시오.
- 인증서를 단일 별칭으로 한 번만 저장하십시오. 동일한 인증서를 다른 별칭으로 저장하려고 하면 실패합니다. 여러 응답자가 동일한 서명 인증서를 사용하는 경우 동일한 별칭을 사용하십시오.
- 지정하는 별칭 값은 SMocsp.conf 파일의 별칭 설정 값과 일치해야 합니다.
- 인증서 별칭의 이름에는 제한이 없지만 첫 번째 별칭은defaultenterpriseprivatekey여야 합니다.
- 별칭은 다음 조건을 충족해야 합니다.
- 모두 소문자 USA ASCII여야 합니다.
- 영숫자 문자를 사용해야 합니다.
참고:개인 키는 RSA 키여야 합니다.
OCSP 요청 서명 구성
정책 서버는
Single Sign-On
인증서 인증 체계를 사용할 때 요청에 서명하고 응답을 확인할 수 있습니다.다음 단계를 수행하십시오.
- SMocsp.conf 파일을 편집기에서 엽니다. 이 파일은policy_server_home/config 디렉터리에 있습니다.
- SMocsp.conf 파일에 각 응답자에 대한 다음 항목을 추가합니다.
- SignRequestEnabled정책 서버에 OCSP 요청에 서명하도록 지시합니다.제한:Yes 또는 No서명 기능을 사용하려면 이 값을 Yes로 설정하십시오.서명 기능이 사용되지 않도록 설정하려면 기본값인 No를 그대로 두십시오.기본값:No 응답자 레코드에 SignRequestEnabled 항목이 없는 경우 정책 서버가 OCSP 요청에 서명할 수 없습니다.
- SignDigestOCSP 요청에 서명하는 데 사용할 알고리즘을 나타냅니다.옵션:
- SHA1
- SHA224
- SHA256
- SHA384
- SHA512
기본값: SHA1 - 별칭정책 서버가 서명 키/인증서 쌍을 검색할 별칭을 나타냅니다. 별칭에는 소문자 USA ASCII 영숫자만 사용할 수 있습니다.
- SMocsp.conf 파일을 저장합니다.
- 정책 서버를 다시 시작합니다.
이제 OCSP 요청에 대한 서명 기능이 사용됩니다.