<P><BR> <BR> 该位置可以是任何有效的URL或路径。它能够是一个HTTP、LDAP、文件地址、UNC或本地路径。我们将输入在线响应程序的完整URL。如图33所示。当安装在线响应程序的时候,IIS中使用的缺省虚拟目录是OCSP。我们将在在线证书状态协议(OCSP)扩展中包含这个位置。为了让该更改生效活动目录证书服务必须被重新启动。如图34所示。在线响应程序能够使用颁发的CA密钥或委派的签名密钥来签名OCSP的响应。委派的签名证书是:短期的,建议的有效期为两个星期。它包含了Id-pkix-ocsp-nocheck扩展,没有CRL分发点或AIA扩展,并且包含id-kp-OCSPSigning扩展密钥使用(EKU)。在 Windows Server 2003 和Windows Server 2008中,配置OCSP签名模板是不同的。在Windows Server 2008中,引入了版本号为3的模板。新的模板版本允许高级加密支持,除了其他的增强以外。同样在Windows Server 2008中,一个新的证书模板也被添加到活动目录中可用的模板中。该模板名称为OCSP Response Signing,它预配置有必须的扩展和前面列出的属性,它的版本号为3。对模板或CA来说,不需要做任何修改。</P>
<P><BR> <BR> 证书模板的一个缺点是不能增加自定义的扩展。在Windows Server 2003中创建和配置OCSP签名模板时会带来一个问题,以及添加id-pkix-ocsp-nocheck扩展的能力。创建这个重复的模板将创建一个版本号为2的模板,它能够被Windows Server 2003 CA 颁发,并且它将仍包含id-pkix-ocsp-nocheck扩展。接下来,有必要配置CA来允许自定义扩展被包含在证书请求中。</P>
<P> 为了允许在线响应程序计算机注册OCSP 应答签名证书,选中访问控制条目中的Read 和 Enroll选项。如图36所示。对于增加的安全,在线响应程序服务运行在Network Service下。这意味着在缺省情况下,它不能访问机器的私有密钥,需要通过修改才允许在线响应程序访问私有密钥。包含在版本号为3的模板中的一个新功能,允许注册客户端配置机器密钥的权限作为注册过程的一部分,来允许运行为Network Service的服务的访问。如图37所示。该功能只能在Windows Vista 和 Windows Server 2008中使用。版本号为3的模板包含一个新特性它允许注册客户端自动修改私有密钥权限来允许NETWORK SERVICE访问。一旦模板被正确配置,需要配置CA来颁发该模板。</P>
<P><BR> <BR> 在线响应程序管理工具被设计为具有很高的易使用性。不管在线响应程序是部署在单个机器、群集还是多个群集中,管理工具为在线响应程序部署提供了单点监视和配置。在缺省情况下管理工具被安装在所有版本的Windows Server 2008上,它为管理在线响应程序提供所有必须的功能。</P>