Uno de los principales porblemas que tenemos cuando trabajamos con certificados, es la liste de revocacion que viaja en los mismos. Con la CRL vamos a poder comprobar si un certificado ha sido revocado o no en nuestra entidad certficadora. En un entorno de dominio en red local, no existe ningun problema , ya que la CRL se transmite por protocolo LDAP, pero que pasa cuando utilizo los certificados para una VPN o Terminal Server? Pues para poder acceder desde fuera de mi red y comprobar la CRL tengo que hacerlo por http como uno de los protocolos y para ello antes de emitir los certificados deberia de montar un OCSP o varios en mi red. El Online Responder se puede instalar en cualquier maquina y se debe de hacerse antes de crear un certificado para los clientes ya que la URL del online responder va dentro del certificado para las CRL.
El primer paso para instalar el online Responder es modificar la plantilla de certificados Firma de Respuesta de Certificados. Para ello duplico la plantilla y accedo a las propiedades de la platilla duplicada y añadiendo a la plantilla en la pestaña de seguridad los equipos que vayan a ser online Responder con permisos de Lectura, Inscripcion y Inscripcion Automatica.
Una vez que he agregado los equipos a la plantilla, añado la plantilla a mi entidad certicadora. Para hacerlo con boton derecho sobre Plantillas de Certificado, Plantilla de Certificado que se va a emitir y Escogo la Plantilla que acabo de crear.
Una vez instalada la plantilla, lo unico que tengo que hacer es ir al equipo que va a mantener el OCSP e instalarle la funcion de OCSP. Para ello voy a la consola Administra su Servidor y hago click sobre Agregar Roles.
Escojo el rol de Active Directory Certificate Services y luego escojo Online Responder (Respondedor en Linea).
Una vez instalado el OCSP, el siguiente paso es indicarle a mi entidad certificadora que utilice el OCSP. Para ello voy a las Propiedades de mi entidad Certificadora, Pestaña Extensiones y Selecciono en eldesplegable Seleccionar extenesion la extension AIA, y le agrego una entrada con la URL de mi servidor OCSP, http://nombre_servidor_ocsp/ocsp
El siguiente paso es ir de nuevo a mi OCSP. Abro la consola del Administrador del Online Responder. En el lado izquierdo tendre una opcion que dice Configuracion de Revocacion, boton derecho y Agregar Configuracion de Revocacion. Esta consta de 4 fases que son:
1- Nombre de la Revocacion
2-Certificado de la entidad emisora que te va a dar el certificado de Firma de Respuesta en Linea
3- Escoger la plantilla para el certificado Firma de Respuesta en linea.
4- Escoger el proveedor de la CRL
Si todo va bien al final deberia de tener la configuracion realizada y un certifcado de Firma de Respuesta en Linea en el OCSP. Si tienes mas de un OCSP podria crear un Array de OCSP, en el cual habria que indicar que OCSP es el que manda para poder asi resolver posibles problemas.