Manchmal ist es notwendig, ein Signaturzertifikats eines Online Responders zu überprüfen, etwa wenn die Verbindung zum (falls vorhanden) Hardware Security Modul (HSM) überprüft werden muss. Der Online-Responder verwendet, wenn die Zertifikate automatisch von einer Zertifizierungsstelle abgerufen werden, einen eigenen Zertifikatspeicher.
Der Online Responder (Online Certificate Status Protocol, OCSP) ist eine alternative Möglichkeit, Sperrstatusinformationen für Zertifikate bereitzustellen. Entitäten, die den Sperrstatus eines Zertifikats überprüfen möchten, müssen dank OCSP nicht die komplette Liste aller widerrufenen Zertifikate herunterladen, sondern können gezielt eine Anfrage für das betreffende Zertifikat an den Online Responder stellen. Für eine detailliertere Beschreibung siehe Artikel "Grundlagen Online Responder (Online Certificate Status Protocol, OCSP)".
Einsicht über die Microsoft Management Console
Kennen Sie TameMyCerts? TameMyCerts ist ein Add-On für die Microsoft Zertifizierungsstelle (Active Directory Certificate Services). Es erweitert die Funktion der Zertifizierungsstelle und ermöglicht die Anwendung von Regelwerken, um die sichere Automatisierung von Zertifikat-Ausstellungen zu realisieren. TameMyCerts ist einzigartig im Microsoft-Ökosystem, hat sich bereits in unzähligen Unternehmen auf der ganzen Welt bewährt und steht unter einer freien Lizenz. Es kann über GitHub heruntergeladen und kostenlos verwendet werden. Professionelle Wartung wird ebenfalls angeboten.
Der Zertifikatspeicher kann über Microsoft Management Console (MMC) eingesehen werden.
Man fügt ein neues Snap-In hinzu.
Man wählt das Zertifikate Snap-In und klickt auf Weiter.
Dann wählt man aus, dass man den Zertiifkatspeicher eines Dienstkontos einsehen möchte und klickt auf Weiter.
Man wählt den lokalen Computer aus und klickt auf Weiter.
In der Liste der Dienste wählt man den Online Responder Service und klickt auf Weiter.
Die Signaturzertifikate befinden sich unter OcspSvc\_{Name der Sperrkonfiguration}_.
Einsicht über Kommandozeile
Überprüfen kann man das Signaturzertifikat über die Kommandozeile mit nachfolgendem Befehl:
certutil ^
-verifystore ^
-service ^
-service " OcspSvc\_{Name der Sperrkonfiguration}_ " ^
{Thumbprint-des-Zertifikats}
Zu beachten ist, dass das -service Argument zweimal aufgeführt werden muss.
Der Thumbprint des Signaturzertifikats kann über die zuvor geöffnete Managementkonsole identifiziet werden. Er befindet sich in der Details Registerkarte des jeweiligen Zertifikats.