OCSP Konfiguration für eine Offline CA

Die Vergabe eines OCSP-Signing Zertifikates für eine Enterprise CA erfolgt recht einfach an Hand der Verwendung der Zertifikatsvorlage.

Für eine OCSP-Signing Zertifikat für eine Standalone CA gilt es jedoch einige Punkte zu beachten:

  1. Ausführen von folgenden zwei Befehlen auf der Offline CA
    certutil -v -setreg policy\EditFlags +EDITF_ENABLEOCSPREVNOCHECK
    certutil -v -setreg policy\EnableRequestExtensionList +1.3.6.1.5.5.7.48.1.5
  1. Der Zertifikats Request wurde mit folgender INF-Datei erzeugt (Auf dem Online Responder)
    [Version]
    Signature = "$Windows NT$"
    [NewRequest]
    Subject = "CN=OCSP_ROOTCA01,O=DTTS-ROST,C=DE"
    HashAlgorithm = SHA1
    KeyAlgorithm = RSA
    KeyLength = 1024
    ProviderName = "Microsoft Enhanced Cryptographic Provider v1.0"
    KeyUsage = 0xf0
    MachineKeySet = True
    RequestType = PKCS10
    [EnhancedKeyUsageExtension]
    OID = 1.3.6.1.5.5.7.3.9
    [Extensions]
    1.3.6.1.5.5.7.48.1.5 = Empty
  1. Der Request wurde auf der Offline CA eingespielt und freigegeben, hier siehst du den Verwendungszweck und das OCSP non Revocation Checking
    Zertifikat2 Zertifikat1
  2. Abschließend muss beim Zertifikat nach dem Import noch der „Network Service“ Read Zugriff auf den Privaten Key erhalten (Auf dem Online Responder)
    KeyUsage KeyUsage2
  3. Nun war es möglich, einen neuen Eintrag im OCSP zu erstellen und anschließend manuell das Zertifikat auszuwählen.
    OCSP EnterprisePKI2 EnterprisePKI1

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

You may use these HTML tags and attributes: <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <s> <strike> <strong>