vvNET

Наводя порядок с местной PKI я наткнулся на задачку, решения которой найти в интернете не получилось. Пришлось разобраться самому.

В Windows Server 2008 появился сервис для быстрой проверки сертификатов на отзыв — Online Responder. Подробнее о нем можно почитать, например, здесь: OCSP (часть 1), OCSP (часть 2).

Установка его не сложна и описана в приведеных ссылках.

Но один момент меня очень сильно не устроил.

Для pki у меня используется три сервера — Root CA, Issue CA и Web-сервер для crt/crl файлов (в DMZ). Online Responder было решено разместить именно на нем. На web-сервере сделан отдельный сайт ca.domen.ru, на котором есть html-странички со ссылками на сертификаты и выложены crt и crl- файлы.  А Online Responder установщик роли установил в дефолтный сайт, что меня не устроило.

Для того чтобы перевести его на наш не дефолтный сайт необходимо сделать следующее.

В консоли IIS внутри сайта ca.domen.ru создаем Application со следующими настройками:

• Alias = ocsp
• ApplicationPool = OCSPISAPIAppPool
• Physical Path = C:\Windows\SystemData\ocsp

Затем для нового приложения необходимо настроить Handler Mappings. Какие настройки нужны можно подсмотреть у созданного установщиком приложения ocsp в дефолтном сайте:

Настройки OSCP Handler-ов (слева то, что создалось в новом приложении, справа - то, что создал установщик роли Online Responder)

Необходимо удалить лишние и добавить AboMapperCustom-19272703 (тип Wildcard Script Map) с такими настройками:

• Name = AboMapperCustom-19272703
• Request Path = *
• Executable = C:\Windows\system32\ocspisapi.dll

После этого нужно удалить приложение ocsp из дефолтного сайта.

Все. Можно открыть pkivew.msc и проверить, что все работает:

Online Responder на новом сайте