OCSP
Páginas: 8 (1814 palabras)
Publicado: 30 de marzo de 2015
Verificar que el usuario que va a instalar sea Administrador
No usuario con privilegios, sino el usuario administrador.
Verificar conectividad y accesos por explorador
A todos los url que están en los tres certificados, las crl y las crt.
Instalar la función del contestador OCSP
La instalamos con el wizard, eligiendo la CA y marcando sólo el respondedor. Todas las extensiones las agregasolo
Firewall de Windows
Cuando instalas el Rol de OCSP, las siguientes reglas deben estar configuradas en el Firewall de Windows:
World Wide Web Services (HTTP Traffic-IN)
World Wide Web Services (HTTPS Traffic-IN)
Online Responder Service (TCP-Out)
Online Responder Service DCOM-In
Online Responder Service RPC-In
Para activar las reglas, abre la consola del Firewall de Windows con SeguridadAvanzada (WF.msc), y click en Reglas de Entrada. Encuentra la regla correspondiente, click derecho, y selecciona Activar Regla en el menú.
Esta accion debe realizarse en todos los respondedor OCSP que seran miembros del Array.
******************************************************
Solicitar e instalar al contestador de OCSP firma de certificado
El siguiente paso es solicitar el certificado de firmade respuesta de OCSP de la entidad emisora de certificados independiente. Desde una entidad emisora de certificados independiente no tiene plantillas de certificados manualmente debemos solicitamos los atributos que nos gustaría en el certificado. Para ello utilizamos una utilidad denominada certreq.exe. Obtener más información para CertReq está disponible aquí:http://technet.microsoft.com/en-us/library/cc736326.aspx.
Para utilizar certreq debemos primero generamos un archivo de configuración. La figura 1 muestra un ejemplo de archivo de configuración. Los elementos claves que deben incluirse es el OID de firma de OCSP y el OCSP no revocación comprobación de extensión, también conocido como la extensión de id-pkix-ocsp-nocheck.
Echemos un vistazo a este archivo de configuración.
· Enprimer lugar tenemos [NewRequest] que es un necesario que indica que se trata de una nueva solicitud de certificado de la sección.
· A continuación, tenemos el tema en formato X.500. También puede utilizar el formato de ldap que se deriva de X.500. Por ejemplo: CN = FCOCSP01, DC = Fourthcoffe, DC = Com. Como alternativa, puede utilizar sólo el nombre común, tales como CN = FCOCSP01.
·PrivateKeyArchive = false ya no va estar archivando la clave privada.
· Exportable = True que nos da la opción para exportar la clave privada si así lo desea.
· UserProtected = false que deshabilita la protección segura de claves.
· MachineKeySet = True que se utiliza para indicte que el certificado resultante se almacenará en el almacén del equipo.
· ProviderName = "Microsoft Enhanced CryptographicProvider v1.0" especifica el proveedor de servicios de cifrado (CSP) que se utilizará.
· UseExistingKey Set = false indica que esta solicitud es para un nuevo certificado, con un nuevo par de claves.
· RequestType = CMC dice certreq para generar la solicitud en formato CMC.
· A continuación, especificamos la nueva sección [EnhancedKeyUsageExtension] que indica qué extensiones deben colocarse en laextensión EKU en el certificado. En virtud de esa extensión especificamos que este certificado puede utilizarse para la firma de OCSP especificando el OID de firma de OCSP (OID = "1.3.6.1.5.5.7.3.9).
· Luego empiece una nueva sección llamada [extensiones] y especificar que la extensión de id-pkix-ocsp-nocheck debería incluirse en el certificado.
A continuación se muestran los pasos para generarla solicitud e instalar el certificado de firma:
1. En primer lugar utilizamos certreq para generar el archivo de solicitud. Especificamos el archivo de configuración y el archivo de solicitud de salida. Al mismo tiempo que se crea el archivo de solicitud por CertReq genera el par de clave para este certificado.
2. A continuación, debemos presentar la solicitud a la entidad emisora de...
No usuario con privilegios, sino el usuario administrador.
Verificar conectividad y accesos por explorador
A todos los url que están en los tres certificados, las crl y las crt.
Instalar la función del contestador OCSP
La instalamos con el wizard, eligiendo la CA y marcando sólo el respondedor. Todas las extensiones las agregasolo
Firewall de Windows
Cuando instalas el Rol de OCSP, las siguientes reglas deben estar configuradas en el Firewall de Windows:
World Wide Web Services (HTTP Traffic-IN)
World Wide Web Services (HTTPS Traffic-IN)
Online Responder Service (TCP-Out)
Online Responder Service DCOM-In
Online Responder Service RPC-In
Para activar las reglas, abre la consola del Firewall de Windows con SeguridadAvanzada (WF.msc), y click en Reglas de Entrada. Encuentra la regla correspondiente, click derecho, y selecciona Activar Regla en el menú.
Esta accion debe realizarse en todos los respondedor OCSP que seran miembros del Array.
******************************************************
Solicitar e instalar al contestador de OCSP firma de certificado
El siguiente paso es solicitar el certificado de firmade respuesta de OCSP de la entidad emisora de certificados independiente. Desde una entidad emisora de certificados independiente no tiene plantillas de certificados manualmente debemos solicitamos los atributos que nos gustaría en el certificado. Para ello utilizamos una utilidad denominada certreq.exe. Obtener más información para CertReq está disponible aquí:http://technet.microsoft.com/en-us/library/cc736326.aspx.
Para utilizar certreq debemos primero generamos un archivo de configuración. La figura 1 muestra un ejemplo de archivo de configuración. Los elementos claves que deben incluirse es el OID de firma de OCSP y el OCSP no revocación comprobación de extensión, también conocido como la extensión de id-pkix-ocsp-nocheck.
Echemos un vistazo a este archivo de configuración.
· Enprimer lugar tenemos [NewRequest] que es un necesario que indica que se trata de una nueva solicitud de certificado de la sección.
· A continuación, tenemos el tema en formato X.500. También puede utilizar el formato de ldap que se deriva de X.500. Por ejemplo: CN = FCOCSP01, DC = Fourthcoffe, DC = Com. Como alternativa, puede utilizar sólo el nombre común, tales como CN = FCOCSP01.
·PrivateKeyArchive = false ya no va estar archivando la clave privada.
· Exportable = True que nos da la opción para exportar la clave privada si así lo desea.
· UserProtected = false que deshabilita la protección segura de claves.
· MachineKeySet = True que se utiliza para indicte que el certificado resultante se almacenará en el almacén del equipo.
· ProviderName = "Microsoft Enhanced CryptographicProvider v1.0" especifica el proveedor de servicios de cifrado (CSP) que se utilizará.
· UseExistingKey Set = false indica que esta solicitud es para un nuevo certificado, con un nuevo par de claves.
· RequestType = CMC dice certreq para generar la solicitud en formato CMC.
· A continuación, especificamos la nueva sección [EnhancedKeyUsageExtension] que indica qué extensiones deben colocarse en laextensión EKU en el certificado. En virtud de esa extensión especificamos que este certificado puede utilizarse para la firma de OCSP especificando el OID de firma de OCSP (OID = "1.3.6.1.5.5.7.3.9).
· Luego empiece una nueva sección llamada [extensiones] y especificar que la extensión de id-pkix-ocsp-nocheck debería incluirse en el certificado.
A continuación se muestran los pasos para generarla solicitud e instalar el certificado de firma:
1. En primer lugar utilizamos certreq para generar el archivo de solicitud. Especificamos el archivo de configuración y el archivo de solicitud de salida. Al mismo tiempo que se crea el archivo de solicitud por CertReq genera el par de clave para este certificado.
2. A continuación, debemos presentar la solicitud a la entidad emisora de...
Leer documento completo
Regístrate para leer el documento completo.