IIS - OCSP stapling inschakelen

Windows server 2008 en hoger ondersteunen OCSP stapling.

Om gebruik te maken van OCSP moet het certificaat een verwijzing bevatten naar de OCSP Responder van de certificaat leverancier. Alle door ons geleverde certificaten bevatten deze verwijzing en bieden daarom ondersteuning voor OCSP.

In tegenstelling tot veel andere webservers zoals Apache is deze functie standaard ingeschakeld in IIS. De enige vereiste om deze functie correct te laten functioneren is dat IIS de OCSP Responder van de certificaat autoriteit kan bereiken. Het kan dus noodzakelijk zijn een eventuele firewall voor de webserver hierop aan te passen.

Het adres en de poort waarop de OCSP responder staan, zijn vermeld in het certificaat. Om deze te achterhalen open je het certificaat en ga je naar het tabblad Details, klik op de regel Authority Information Access. Hierin staan mogelijk meerdere adressen vermeld, de OCSP responder heeft een Access Method waarde On-line Certificate Status Protocol. In het voorbeeld hieronder is het adres van de responder ocsp.comodo.com. Deze maakt gebruik van het http:// protocol en gebruikt daarom poort 80:

 

 OCSP stapling in IIS

Wanneer dit adres vanaf de webserver te bereiken is op de vermelde poort/met het vermelde protocol, zal OCSP stapling direct werken.

SSLCheck

De SSLCheck controleert of je certificaat goed op je server is geïnstalleerd en of er mogelijke problemen zijn.